如果说刚开出来的时候，有问题我们也就算了，只能说中科院连个起码的开发团队都组建不起来，code review 没有人，代码规范没做好的。构架设计就是一泡污也就算了。

问题是你会觉得很奇怪2年了，整整2年了。2年时间以后，居然效验还会出问题。SQL注入这么好查的事情还会有。大家看到了12036用的是Hibernate，只要你正常使用Hibernate 根本不可能有SQL肯定是垃圾程序员着急完成任务，或者担心表关联问题之类的，自说自话自己拼接了SQL语句，再执行的。这种用文档搜索器都可以检查出的代码错误。2年了，居然还没解决。

12306 如果真要解决问题，在我看不是再找中科院了，中科院那帮教授院士什么的，做固定的科研问题应该可以，做实际的商业开发就是抓瞎。他们甚至连评审的资格都没有。不用搞学术迷信。这个行业不是你是会写代码，且是教授就可以管控得住的。

所以真要解决问题，我觉得最好的办法，是把12306的系统构架可以向社会开放，中国到现如今做电子商务系统开发的牛人多了去了。都是老美高手带出来的。比如淘宝那里跟着老美老师把分布式做得那简直是出神入化了。

代码的整体框架急需重新设计，Validation 这块要重写。没办法，但是使用现有成熟框架可以减少相当大的重写工作量。
SQL 注入我就不说了。自己开个文本编辑器查吧，发现一个算一个ticket 1个月就解决了。