微软的SQL Server是一种广泛运用的数据库,很多电子商务网站、企业内部信息化平台等都是基于SQL Server的,但是其安全性也一直受到用户的置疑。SQL注入(SQL injection)是目前非常流行的对SQL Server造成严重威胁的网络攻击方法,本论文主要研究了SQL注入原理及数据库的安全防范措施,从多个角度分析了如何防止注入,从而更好地维护SQL Server的安全。论文首先介绍了SQL(Structured Query Language),简要概述了如何使用SQL执行简单操作和SQL注入的攻击环境,详细分析了SQL注入的背景。SQL注入就是利用插入有害字符进行攻击的技术。攻击者利用程序员对用户输入数据的合法性检测不严格或不检测的特点,故意用不同的方式从客户端提交特殊的代码操纵数据,从而收集程序及服务器的信息,获取想得到的资料。SQL注入攻击是一种脚本类型的攻击,论文较全面地分析和阐述了SQL注入的基本原理及其一般步骤,结合某些具体情况,详细地论述了Blind SQL注入、跨站式注入相关技术,以及SQL注入的漏洞检测及其防范。安全性管理是数据库管理系统的一个非常重要的组成部分,论文针对SQLServer安全体制,提出了有效防止SQL注入的SQL Server安全配置。最后,总结整篇论文,并给出进一步的研究方向。