随着互联网技术的不断普及,在日常生活中web应用程序的使用变得越来越流行,同时我们所面临的各种攻击也渐渐凸显。SQL注入攻击(SQL Injection Attacks,SQLIAs)是现今最危险,也是最有效的基于Web的攻击方式之一。攻击者通过对用户输入数据进行恶意的篡改,并最终修改原有SQL语句的逻辑结构,以此来达到获取额外信息或者执行恶意攻击语句的目的。因此如何更有效的对SQL注入攻击进行防御成为非常迫切的问题。本文通过对现有SQL注入攻击行为的特征进行分析,得出大多数常见的SQLIAs都具有明显的攻击特征。并且任何形式的SQLIAs一旦注入成功,必定会修改原有SQL语句的逻辑结构。由此提出针对SQLIAs分两部分来对其进行防御:首先,对于一般常见的注入攻击行为,可以借助面向方面编程(AOP)技术声明方面、定义切点的形式先对其进行常规校验,校验内容包括数字型攻击、字符型攻击以及SQL或者其它恶意关键字攻击,该部分校验虽然校验能力有限,但是起到了初次过滤的作用,避免将所有的数据提交后台数据库处理,从而造成JDBC与数据库间大量SQL语句的分析而带来的数据库瓶颈及对数据库性能的影响问题;其次,由于常规校验的校验范围和能力都有限,因此根据其校验的结果,并在此基础上再对部分请求进行二次校验就很有必要,该部分的校验称为逻辑结构的校验。逻辑结构的校验是结合了静态代码分析技术与基于AOP的动态捕获技术,通过比较两种情况下SQL语句的逻辑结构是否一致来判断是否为攻击行为。通过以上常规校验和逻辑结构校验两种方式的结合来保证送往后台数据库的数据尽可能的干净。最后,本文在实验章节部分以一个常规的web项目为实验对象,通过列举不同类型的攻击行为并对其进行一一测试来验证本文方法的有效性。同时对本文方法的时间性能以及现有研究进行了分析和比较,以此来增强本文方法的说服力。通过实验结果,表明本文方法能有效地检测和防御SQLIAs的行为。