计算机网络应用已经涉及到人们日常生活的各个方面,连接到这些网络应用的数据库的安全问题也日益受到人们的关注。本文对网络后台数据库的SQL注入漏洞的攻击与防御方面做了研究探讨。对注入攻击的原因与特点做出了分析,说明了SQL注入攻击的一般步骤与方法,阐明了SQL注入防御的方式方法,最后实现了一种SQL自动注入攻击检测与利用系统。SQL自动注入攻击检测与利用系统包括自动注入攻击检测、SQL注入漏洞自动利用以及手动注入功能。在自动注入攻击检测模块中,用户输入基准URL,程序可通过对源文件的爬虫得到所有基准URL下的页面网址。该网络爬虫经过一定的定制与优化,只对包含能代表一个单位或集体的关键域名的非重复网址进行爬虫。之后对爬虫得到的网址进行检测,得到可被注入页面。在SQL注入漏洞自动利用模块中,用户输入易受攻击的页面地址可以直接得到破解结果。此模块不仅通过一般的SQL注入方法进行攻击,还通过SQL字典猜解和盲注进行测试。通过传统注入得到数据库类型、用户名和数据库名,通过传统注入和字典猜解得到表名、列名,通过传统注入和逐字盲注猜解来获取数据库的内容,从而完成获取信息的工作。在手动注入模块中,用户可输入特定(已注入或未注入)的网址得到该页面的源码,用户可自行对源码进行分析做出判断。该系统对有漏洞的服务器进行了攻击测试并获得了良好的效果,网络爬虫和盲注攻击猜解改善了SQL注入攻击的效能。