随着互联网应用的日益深入,Web应用程序成为互联网应用的主要构成,支撑金融、政治、企业等多个领域的信息发布和交流环节。然而程序员意识和经验的薄弱,造成Web应用程序的安全问题日益严重,“SQL注入”漏洞是Web应用程序安全漏洞中发生率最高、危害性最大的漏洞。本文针对数据库为SQL Server的Web应用存在的“SQL注入”漏洞检测技术和防范方法展开研究,具体工作内容包括：1.在研究“SQL注入”的概念、产生原因和特点的基础上,分析了“SQL注入”的流程和攻击途径,归纳了“SQL注入”的7种攻击方式,提出了一种基于SQL Server的新型“SQL注入”攻击方式,为“SQL注入”攻击的解决方案提供理论支持；2.分析了常见的“SQL注入”检测技术和各自的优缺点,从代码编写和Web应用运行平台两个角度改进了“SQL注入”的防范方法,提高了“SQL注入”的防范准确性,有效降低了“SQL注入”风险；3.通过实验分析了两种主流“SQL注入”工具的主要功能和注入过程,总结了现有工具存在的问题,设计了针对SQL Server的多线程分析方法,提高现有工具的速度和注入可能性；4.针对数据库为SQL Server的Web应用,在多线程分析方法的设计基础上,实实现了一个“SQL注入”检测工具,完成了“SQL注入”的检测和猜解数据等功能,改进了现有工具针对SQL注入检测效率低下的问题。此工具应用于科技部信息中心《全国科研项目信息共享系统》项目的安全检测过程,效果良好。