Многие процессоры / API XPath позволяют вам использовать переменные в своем выражении, поэтому вы можете написать, например, //A[@status=$param], где значение $param предоставляется вызывающим кодом.Если вы можете использовать это, сделайте, потому что это предотвращает все инъекционные атаки.Это также, вероятно, будет более эффективным, чем создание выражения с использованием конкатенации строк, поскольку его нужно скомпилировать только один раз.