由于Web应用的快速发展,多年来SQL注入一直是一个严重的安全威胁。在Web服务系统中,很多系统为了防止SQL注入漏洞,采用黑名单式的过滤规则或者过滤函数,由多条规则叠加,而这会带来更大的潜在的危机。作为渗透测试人员或者攻击者,就是要去发现这些潜在的漏洞,而现有的SQL注入自动化测试工具,只能对简单的SQL注入漏洞进行测试,当遇到具有过滤函数的目标系统时,需要人为的经验去判断选择调试,漏洞的发掘过程就会变得异常艰难,否则工具只会反馈该注入点不可注入。现在本文提出了一种利用组合覆盖的思想,对SQL注入的基本测试用例进行变异的方法,实现自动化的去发掘被多重规则保护下潜在的SQL注入漏洞。本文结合具体攻击实例,深入研究SQL注入漏洞成因,对现有的SQL注入测试用例变异操作符进行了归纳、总结和分类,提出了一种基于变异的测试用例生成算法,针对该算法中存在的多重变异以及测试用例空间扩大的问题,又提出了一种改进的基于组合测试的测试用例生成算法,该算法提高了测试用例的漏洞覆盖率,同时缩减了测试用例空间,最后通过搭建实验仿真平台,进行仿真实验,通过实验数据的统计对比分析体现出了本文方法的优越性,最后指出了未来工作的一些想法。