随着网络应用的日益广泛,人们对网络安全的重视程度越来越高。与此同时,网络攻击也不断变换目标和攻击方法。现在,针对Web应用系统的攻击已经成为网络安全攻防新焦点。而在对Web应用系统的所有攻击中,SQL注入成为Web应用系统的严重安全隐患。通过该类型攻击,攻击者可以非法获得对Web应用程序数据库的无限制的访问权限,进一步得到企业和网络用户的机密信息,如银行账号、交易数据等等,给网络用户和企业造成了巨大的生活困扰和经济损失,这就迫切要求对SQL注入攻击实施全面防御。本文就是基于此目的,对SQL注入攻击和防范进行深入研究。本文首先阐述本课题的研究背景、现状和主要研究内容;接着研究了SQL注入攻击的技术背景和原理,其中,技术背景包括网站的基本知识和SQL注入攻击的途径、动机、分类和流程;然后实现了一个多功能的SQL注入检测系统;最后,在现有防范方法的基础上提出了一种基于分析树的编码防范新方法。本文设计并实现的多功能SQL注入检测系统,能够使用手动和自动注入方式对多种数据库进行探测攻击。自动攻击加快了SQL注入的速度,而手动注入方式则可以使攻击更加灵活。攻击过程中采用一般注入、暴力猜解和字典猜解三种方式实现。同时,本文提出的基于分析树的编码防范新方法动态检测SQL注入攻击,对动态生成的查询语句进行比较分析,提高了对SQL注入检测的准确性。而将该方法写成API函数的思想,不仅减轻了程序员编写过滤代码的负担,也防止了由程序员编写过滤代码带来的过滤不全面性。