调试易

用struts框架，绝对不用有状态的sessionBean。
安全范围太广了，每个页面(或struts的action)前检验session， 注意防止sql注入
性能 要好的服务器吧，java的性能主要靠服务器强健，自己代码只要不是太滥对性能影响不大。

哈!怎么防止SQL注入?请高手发言!还有是否每个页面加上SESSION值判断就OK了吗?
比如,用户登陆正确就朝SESSION里面设置一个特殊值,以后每个页面通过判断这个SESSION值来判断是否有权限访问???????????是这样的吗?

sql注入主要是防止输入数据拼成sql语句时，破坏了sql语句，
例如
  "select count(*) from user='" + username +"' and password='" + password + "'"
如果username 或密码写成    （' and ''='）就会跳过密码校验,更严重的是可以调用系统存储过程破坏系统，主要防范是防止 输入项中包含 单引号和分号。
session的说法没错，不过你要更细致的权限控制，就要在session中保存 角色信息或拥有的权限代码列表

想要把sessionbean做的更好可以在上层做个Facade来隐藏后端以便更好在servlet来调用，当然要做层次清晰可以做到模块化的封装（Delegate类）

哈!我觉得我的应该不会出现!因为我在JSP里面做了数据验证,也就是说不可能有那么长的SQL语句!不过怎么大家对这个问题都没什么兴趣呢?是不是分少了!!!!我加分可以吗?EJB里面有什么安全?我讲的是代码内的,当然大家也可以谈服务器设置,我用的是WEBLOGIC