随着宽带网络的普及,人们对数字资源和网上服务的依赖日益加深,基于网络的商务运作、银证业务和政府公务等已经成为我们生活中不可缺的组成部分。人们在享受网络时代便捷服务的同时,潜在的威胁也不期而至：攻击者的攻击手段越来越高明,个人信息被窃取、银行资金被盗用等高科技犯罪案件不绝于耳。不管是个人信息的泄露还是银行资金被盗用都是后台数据库信息泄露的一个侧面反映。因此,web应用安全很大程度上取决于后台数据库的安全。现存的数据库安全机制已经不能满足保护后台数据库信息安全的需要。本文对各种防火墙和保护后台数据库信息安全的技术进行了调研,分析了这些技术的优缺点,指出了它们在设计和实现中遇到的关键问题,并总结了它们在问题解决过程中的经验和教训。在此基础之上,设计并实现了一种防止针对web应用后台MySQL数据库攻击的数据库防火墙(DB-FW)。它位于web服务器和后台数据库服务器之间,类似于一个虚拟的数据库服务器连接驱动。可以根据用户的需要配置其在不同方式下工作。它监听从客户端发来的SQL查询请求并进行分析：当分析是一个合法的查询后,就调用后台数据库服务器执行查询；否则就阻止查询的执行,返回客户端一个空的结果。论文中用一种新的分析SQL查询的方法：不但对SQL查询语句结构做出分析,而且通过一系列的模型对SQL查询语句中需要用户输入部分也做细致的分析,这样不仅可以阻止常见的针对后台数据库的攻击,而且可以检测出未出现的攻击类型。实验表明,与类似的系统相比,本文的系统不但具有较低的误报和漏报,而且时间开销较低。