Наше программное обеспечение берет имя пользователя из пользовательского ввода и помещает его в ldap-запрос следующим образом:
(& () (sAMAccountName=userinput))
Мне это кажется очень подозрительным, но до сих пор я не мог сломать его, используя недостающие средства санитарии. Я всегда получаю «не хватает равно», как только пробую использовать какие-либо специальные символы. может быть, com.sun.jndi.ldap.Filter.encodeFilter позаботится об этом?