随着互联网的高速发展,人们对互联网的依赖程度也越来越高,而同时引发的网络安全问题的也越来越受到人们的重视。当下针对web应用系统的攻击已经成为网络安全攻防新焦点,在所有的web攻击中,SQL注入以及XSS跨站脚本攻击是最为严重的。通过这两种类型的攻击,攻击者可以进行信息盗取,甚至控制系统等等,给网络用户和企业造成了巨大的生活困扰和经济损失,因此,急需要针对这两种攻击的防范措施出台。本文以此为目标,对SQL注入攻击和防范以及XSS的攻击和防范进行深入研究。本文首先对SQL注入攻击和XSS跨站脚本攻击的技术原理以及分类进行了详细的描述,同时,对于其他类型web攻击,本文也介绍了相关的攻击方式以及防范措施。在对SQL注入以及XSS跨站脚本攻击的基本原理以及攻击方式研究的基础上,本文提出了一种新的SQL注入自动防范模型。该模型可以在防止SQL注入工具攻击的同时保证用户提交数据的最大限度使用,并且还可以对频繁的SQL注入攻击进行有效的阻断；另一方面,本文提出了一种独立的基于特征的XSS攻击策略分析模型,该模型针对现下XSS攻击变化多端以及对已开发完成系统补充XSS防范策略代价大两个方面做出了有效的优化。