首先，让我们来谈谈SAX对XML文档的解析机制。一般情况下，SAX 处理器
分析XML代码将生成以下事件：

Start document
Start element ()
Characters (white space)
Start element ()
Characters ()
End element ()
............
End element ()

具体解析步骤如下
一、 创建事件处理程序，SAX 提供应用程序可扩展的类 DefaultHandler。
创建的解析类config必须继承类 DefaultHandler。
如：public class Config extends DefaultHandler{}
二、使用 JAXP 来创建解析器：使用 JAXP 中的类 XMLReaderFactory
来创建解析器。首先声明 XMLReader的一个对象 parser。然后使用
XMLReaderFactory的createXMLReader方法来创建 SAXParser。
XMLReader parser =
XMLReaderFactory.createXMLReader(
"org.apache.xerces.parsers.SAXParser");
三、一旦创建了解析器，则需要将 config 设置为内容处理程序，
以便于其接收事件。
parser.setContentHandler(this);

但是，当然总会有可能在试图进行解析时，数据有问题。这时应该创建
ErrorHandler 在这样的情况下，有一个处理程序来处理错误和内容。
parser.setErrorHandler(this);
四、准备对文件进行实际解析。应用程序文件传递给 parse()，然后应用程序
会继续运行。
parser.parse(confFile);
五、接下来就开始对文档进行解析了。前面说过SAX的处理机制，SAX在处理XML流
的过程中，首先产生startDocument()事件，实际上该事件什么也没有发生，因为
还没有定义任何解析的事件。使用 startDocument() 事件只是为了通知文档的开
始。类似其它 SAX 事件，该事件抛出 SAXException。
例如：
public void startDocument()
throws SAXException {
System.out.println(
"Tallying survey results...");
}

六、跟下来，就正式开始对文件进行解析了。这时SAX会产生一个startElement()
事件，对于每个元素，都会回送一个传递给 startElement() 事件的名称。不过
解析器实际所传递是：该元素的名称空间信息；该元素的实际名称或 localName；
名称空间别名和 localName 的组合（否则是限定名或 qname）；以及该元素任何
属性。startElement() 事件还提供对元素属性的访问。将这些属性传递进称为
Attributes的数据结构。根据属性在数组中位置或属性的名称，可以检索该属性值。
例如：
public void startElement(
String namespaceURI,
String localName,
String qName,
Attributes atts)
throws SAXException {
String s = (!"".equals(localName)) ? localName : qName;

System.out.print("Start element: ");
System.out.println(localName);
tag = s;
if (localName == "Connector") {
System.out.println("name: "
+ atts.getValue("name"));
} else if (localName == "port") {
thisQuestion = atts.getValue("servername");
}else if (localName == "maxThreadPoolSize") {
thisQuestion = atts.getValue("poolname");
}
if (localName == "Database") {
System.out.println("name: "
+ atts.getValue("name"));
} else if (localName == "driverName") {
thisQuestion = atts.getValue("dataname");
}else if (localName == "encoding") {
thisQuestion = atts.getValue("codename");
}
thisElement = localName;

for (int att = 0;att < atts.getLength(); att++) {
String attName = atts.getLocalName(att);
System.out.println(" "
+ attName + ": "
+ atts.getValue(attName));
}

}
七、有了元素，接下来用 characters() 来检索实际的数据。这时可以使用下面的
方法获得实际的数据：
可以用String s = new String(ch, start, length).trim();
这个方法来获得数据。
例如：
public void characters(char[] ch,
int start,
int length)
throws SAXException {

String s = new String(ch, start, length).trim();
if (!"".equals(s)) {
if ("port".equals(tag)) {
System.out.println(Integer.parseInt(s));
} else if ("maxThreadPoolSize".equals(tag)) {
System.out.println(Integer.parseInt(s));
}
//System.out.println(tag+" = "+s);
}

s = new String(ch, start, length).trim();
if (!"".equals(s)) {
if ("driverName".equals(tag)) {
System.out.println(s);
} else if ("encoding".equals(tag)) {
System.out.println(s);
}
//System.out.println(tag+" = "+s);
}
}
八、接下来的要做的就是用endElement()来结束对一个xml的 element的解析。
例如：下面的方法
public void endElement(String namespaceURI,
String localName,
String qName)
throws SAXException {

printIndent(indent);
System.out.println("End Element: "+localName);
indent = indent - 4;
thisQuestion = "";
thisElement = "";
九、最后就是告诉程序，xml文件解析完毕，此时，用endDocument()来结束程序。
例如：
public void endDocument() {}

总的来说，sax处理xml的方法还基本上是差不多的，只是一二步的方法相对多一点,
那些其他的方法我这里就不多说了，由读者自己去查找资料。

[2年前写的东西,可能有点过时了~~~]

后来仔细一想，再查了一点资料，整理如下：

java的安全在语言级上提供了很好的安全措施，主要是：

1、严格遵循面向对象的规范。这样封装了数据细节，只提供接口给用户。增加了数据级的安全性。

2、无指针运算。java中的操作，除了基本类型都是引用的操作。引用是不能进行增减运算，不能被直接赋予内存地址的，从而增加了内存级的安全性。

3、数组边界检查。这样就不会出现C/C++中的缓存溢出等安全漏洞。

4、强制类型转换。非同类型的对象之间不能进行转换，否则会抛出ClassCastException

5、语言对线程安全的支持。java从语言级支持线程。从而从语法和语言本身做了很多对线程的控制和支持。

此外，java的安全还通过编译器、检验器、类装载器、建立安全策略等方式保证了java程序的安全性。