JAVA集成ESAPI需要注意的问题

近期项目需要集成第三方，使用了ESAPI，在集成使用过程中存在一些问题，在此做一个记录。esapi版本为2.1.0。

一、必需的配置文件

使用ESAPI必须要有配置文件ESAPI.properties和validation.properties，没有的话会出现各种异常，如Error initializing SqlMap class. Cause:org.owasp.esapi.errors.Configuration等。

这里主要存在两个问题：一是如何获取配置文件？二是配置文件的放置位置？

1.1 问题一：可在github上获取获取配置文件。

地址：github.com/ESAPI/esapi…

1.2 问题二：放到src下新建esapi目录里。

这里是以JavaWeb项目为例子，编译构建后格式如下图，非SpringBoot项目。

二、日志配置修改

目前Java项目常用的日志框架大都是slf4j,但ESAPI不支持slf4j，支持log4j和JDK的jul日志，不使用log4j或者为了减少改动，直接使用jul即可。 此时只需修改配置文件ESAPI.properties中的日志配置参数ESAPI.Logger即可。

三、注意查看ESAPI日志

ESAPI的日志不显眼，很容易被人忽略。但其实很重要，出现的问题都会显示，需要注意查看，以便更容易解决问题。