摘要：提出了一种基于静态分析的SQL注入攻击的检测方法。静态分析Web应用程序的源文件，提取污染源到执行参数的构造路径，形成检测规则。动态执行时替换规则中的输入参数为用户输入值，比较得到的SQL语句和原SQL语句在语义和结构上的异同，判断是否存在SQL注入攻击。实验结果表明，该方法有效可行，增加了过滤模块后对系统的性能影响不大。

关键词：sql注入 静态分析 构造路径 检测规则 web应用程序 

单位：江西师范大学计算机信息工程学院 江西南昌330022