1、隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫技術(shù)在存儲、管理大量重要數(shù)據(jù)方面的作用越來越明顯。與此同時，網(wǎng)絡(luò)攻擊的目標(biāo)和方法也在不斷變化，其中，針對Web應(yīng)用系統(tǒng)的占很大一部分，特別是SQL注入漏洞的存在使Web應(yīng)用系統(tǒng)存在嚴(yán)重的安全隱患。通過巧妙構(gòu)造用戶輸入數(shù)據(jù)，提交惡意的頁面請求，攻擊者可以獲得并操控網(wǎng)絡(luò)應(yīng)用程序后臺數(shù)據(jù)庫里的內(nèi)容，包括企業(yè)和網(wǎng)絡(luò)用戶的機密信息，如交易數(shù)據(jù)、銀行賬號等，給網(wǎng)絡(luò)用戶和企業(yè)帶來了巨大的生活困擾和經(jīng)濟損失，這就迫切

2、要求在Web應(yīng)用程序中加入對SQL注入攻擊的檢測與防范。
　　 近幾年，SQL注入攻擊被不斷利用并持續(xù)發(fā)展，其注入方式呈現(xiàn)出多樣性與隱蔽性等特點，使得Web應(yīng)用系統(tǒng)存在防SQL注入門檻高、投入代價大、易用性差、互操作能力弱等問題，在這種情況下，防SQL注入攻擊中間件應(yīng)運而生。
　　 本文通過將防SQL注入技術(shù)和中間件技術(shù)結(jié)合起來，將防SQL注入模塊和整個Web應(yīng)用系統(tǒng)相分離，成為通用的軟件，使二者構(gòu)成一種松耦合的關(guān)系，在

3、提高軟件的可重用性的同時，也降低了Web系統(tǒng)開發(fā)的難度。
　　 本文的主要研究內(nèi)容如下：
　　 (1)設(shè)計了防SQL注入攻擊中間件的模型。對該模型的設(shè)計思想及實現(xiàn)原理進行了詳細闡述，詳細介紹了該中間件的工作方式以及在不同工作方式下的執(zhí)行流程，并闡述了該中間件的防SQL注入原理及各組成模塊的具體功能。
　　 (2)實現(xiàn)了防SQL注入攻擊中間件。對應(yīng)用編程接口作了詳細設(shè)計和實現(xiàn)，具體介紹了分析器和響應(yīng)器的實現(xiàn)過程，包