Запустил Veracode, и я обнаружил эту слабость в следующих разных частях моего кода:
node = (Node)xPath.evaluate("//device-category[@name='" + name + "']", this.m_doc, XPathConstants.NODE);
Следует ли помешать проверке только переменной name?