为了对录井信息系统进行有效、统一的管理,前任开发者设计了数据访问层软件,录井公司的大部分应用程序(包括网站)不直接访问数据库,而是需要通过数据访问层软件访问数据库中的数据。应用程序将SQL数据命令通过SOCKET发送给数据访问层软件,由数据访问层实现对数据库的访问并将结果反馈给应用程序。如果在应用程序中采用动态方式生成SQL语句,并且开发者没有对用户输入数据的合法性进行检验,用户就可以在输入的数据中添加一些非法命令或条件,从而查询到他没有权限的数据。另外非法访问用户也可能自己编写非法应用程序,直接通过访问数据访问层提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是SQL注入。所以需要研究数据访问层软件中的SQL注入检测技术,防止发生SQL注入,为录井业务系统提供更好的安全检测和防御措施。本论文首先介绍了数据访问层技术、SQL注入技术、SQL语句解析技术、SQL注入检测等相关知识。然后讨论了录井数据访问层中的SQL注入的检测分析技术以及相应的防御措施。在客户端利用SQL语句解析技术,结合访问者的输入数据,判断是否存在非法访问的情况；在数据访问层的服务器端利用相应的防御措施进一步防止SQL注入的发生。从而达到保证系统服务资源和数据资源的安全访问管理。