2008-06-23 アクションのpublicフィールドへの意図しないインジェクション SAStruts 携帯からエントリー。[Seasar-user:14748] の件、id:kuwalabさんのようにDTOにしてしまうのもいいのだけど、バリデータが使えないと悲しいので、思い付きをひとつ。 たとえば、バリデータかもしくは@NoValidateがついてるプロパティーはフォームからセットするが、それらアノテーションがついてないプロパティー(jdbcManagerみたいなの)にはフォームからはセットしない。というふうにSAStrutsが振る舞う、というのはどうでしょう。 追記:とか書いてたら出羽さんの[Seasar-user:14780]が。