Checkmarx 真的有够烂= =
每次新案子要拿去源扫大概就要多花个一个礼拜的时间解弱点
那种 get 里面没用 clone() 之类的都还好解
最烦的是变量名称包含到什么 password、phone、authword 之类的也要抓