<div dir="ltr"><div dir="ltr">>If JDBCAppender is removed thre would be a single exception thrown at</div>>config time<div><br></div><div>Once again: there are valid cases when people override `flushBuffer` and implement secure database calls.</div><div>In other words, they find "buffering" feature useful.<br></div><div>If we drop the class altogether, the users would have to rewrite/recompile the code which is harder than just replacing log4j.jar with reload4j.jar.<br></div><div>if we keep the class, we could still keep the "drop-in replacement" label which would be very good.</div><div><br></div><div>That is why I suggest we keep the class, and we heal SQL injection.<br></div><div><br></div><div>>Then there is the case of MDC (%X), NCD (%x) and many other cases which</div>>we did not anticipate<div><br></div><div>We can hard-code things like "we support PatternLayout only", then we know the full set of markers (e.g. everything with %).</div><div><br></div><div>Vladimir</div><div><br></div></div>