目前所开发建设的许多Web应用程序都存在安全漏洞,给Web系统及个人隐私等敏感数据带来较大的安全威胁。在Web应用的安全漏洞中,SQL注入漏洞是最为严重的安全风险之一。SQL注入具有存在广泛性、危害的多重性及攻击的多样性特点,SQL注入攻击者可造成网站运作受影响,严重的可能造成重大的经济损失或重要的机密内容泄露,影响对Web应用系统的正常使用。本文在对SQL注入的攻击原理和SQL注入检测和防范方法开展研究的基础上,提出一种基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架及SQL注入攻击分层防御模型。本文首先对SQL注入攻击及Web渗透测试技术进行介绍,并对当前SQL注入攻击检测与防范方法进行分析。在此基础上,进一步对SQL注入攻击漏洞检测与防范技术进行研究,提出将模糊测试理论与漏洞分级策略相结合的改进的SQL注入攻击漏洞检测框架,同时,将Web系统客户端、服务器端的防御检测,以及数据库及系统服务器安全策略相结合,提出SQL注入攻击分层防御模型。然后,根据构建的基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架,设计并实现了 SQL注入攻击检测模型,并对SQL注入攻击分层防御模型进行了设计与实现。最后,对构建的基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架及SQL注入攻击分层防御模型分别从SQL注入攻击漏洞检测效率、准确度方面,以及对SQL注入攻击的防御效能方面,进行实验论证。本文利用ASP.NET、ⅡS服务器及Microsoft Visual Studio等开发与搭建实验环境。结合本实验的实际开发、运行以及测试环境,对建立的基于SQL注入漏洞分级和模糊测试的SQL注入漏洞检测框架与SQL注入攻击分层防御模型进行实验论证,证明本文所提出SQL注入攻击检测方法的可行性与SQL注入攻击防范方法的有效性。并与目前几种SQL注入攻击检测工具及SQL注入攻击防御方法相对比,论证本文提出的方法在检测及防御效率和检测的准确度方面具有优于已有的方法或模型。