1、伴隨著計算機網(wǎng)絡的快速發(fā)展,基于B/S架構的Web應用程序逐漸替代了C/S架構的應用程序,隨之而來的Web應用程序的安全性也成為相關學者研究的熱點。SQL注入攻擊是影響Web應用程序安全性的最嚴重的問題之一,因此有效的檢測和防御SQL注入攻擊對于保證Web應用程序的安全性具有十分重要的現(xiàn)實意義。傳統(tǒng)的防御SQL注入的方法有指令隨機化,滲透測試,輸入過濾等。這些方法要么不能防御所有類型的SQL注入攻擊,要么存在的極高的誤報率和漏報率,要么

2、需要服務器和數(shù)據(jù)庫代理的支持,部署十分繁雜。
　　針對傳統(tǒng)的防御方法的不足,本文在結合靜態(tài)分析和動態(tài)檢測技術的基礎上提出了一種基于靜態(tài)分析的防范 SQL注入過濾模塊的設計與實現(xiàn)方法。通過靜態(tài)分析 Web應用程序的源文件,提取用戶輸入到執(zhí)行參數(shù)的構造路徑,生成策略文檔。動態(tài)執(zhí)行時替換策略文檔中的輸入?yún)?shù)為用戶輸入值,比較得到的SQL語句和原SQL語句在語義和結構上的異同判斷是否存在SQL注入攻擊。過濾模塊的設計實現(xiàn)基于Java語言,