随着计算机网络技术的飞速发展,数据库技术在存储、管理大量重要数据方面的作用越来越明显。与此同时,网络攻击的目标和方法也在不断变化,其中,针对Web应用系统的占很大一部分,特别是SQL注入漏洞的存在使Web应用系统存在严重的安全隐患。通过巧妙构造用户输入数据,提交恶意的页面请求,攻击者可以获得并操控网络应用程序后台数据库里的内容,包括企业和网络用户的机密信息,如交易数据、银行账号等,给网络用户和企业带来了巨大的生活困扰和经济损失,这就迫切要求在Web应用程序中加入对SQL注入攻击的检测与防范。近几年,SQL注入攻击被不断利用并持续发展,其注入方式呈现出多样性与隐蔽性等特点,使得Web应用系统存在防SQL注入门槛高、投入代价大、易用性差、互操作能力弱等问题,在这种情况下,防SQL注入攻击中间件应运而生。本文通过将防SQL注入技术和中间件技术结合起来,将防SQL注入模块和整个Web应用系统相分离,成为通用的软件,使二者构成一种松耦合的关系,在提高软件的可重用性的同时,也降低了Web系统开发的难度。本文的主要研究内容如下:(1)设计了防SQL注入攻击中间件的模型。对该模型的设计思想及实现原理进行了详细阐述,详细介绍了该中间件的工作方式以及在不同工作方式下的执行流程,并阐述了该中间件的防SQL注入原理及各组成模块的具体功能。(2)实现了防SQL注入攻击中间件。对应用编程接口作了详细设计和实现,具体介绍了分析器和响应器的实现过程,包括业务层的设计、持久层的设计及数据库的设计等。(3)将防SQL注入攻击中间件应用到一个开源的、存在SQL注入漏洞的Web应用程序中,设计了SQL注入攻击模拟实验对中间件的功能进行了有效性验证。并对防SQL注入攻击中间件的性能开销进行了测试,验证了该中间件的可行性。