随着Internet的普及和计算机网络的高速发展，基于Web的三层网络架构得到了广泛的应用越来越多的浏览器/服务器（B/S）架构的网络应用出现，也标志基于浏览器/服务器的应用系统逐渐取代基于客户端/服务器架构(C/S)的应用系统成为主流，广泛应用于小规模网络应用软件和企业级管理系统中但由于网络攻击技术的发展速度远高于网络防御技术的更新速度，加之网络编程人员对程序细节的把控不足，致使网络攻击行为泛滥，网络应用漏洞百出，随时威胁着用户的财产安全为了应对日益猖獗的网络攻击行为，网络安全工程师运用换位思考的方式，提出了一种以攻击者的身份来对网络应用程序及网络架构进行评估的方法，这种方法就是渗透测试它能够全面的探测目标网络的安全薄弱环节，为网络管理人员提供详细的渗透测试报告，对目标网络现状做出评估，并提供详尽的升级加固措施，提高目标网络系统的安全等级其中，SQL注入攻击作为一种以攻击网络应用的数据库服务器达到破坏网络资源或者窃取珍贵数据为目的的网络攻击，也是渗透测试的一种重要方法本文介绍了渗透测试的概念与原理，并通过设计对以Access MySQL MsSQL为数据库的网络应用的SQL注入实验，着重分析了对以上数据库的注入方法在分析攻击方法之后，引入了SQL注入的代码层防御方法与应用层防御设备——Web应用防火墙（简称WAF）最后，本文在传统的WAF防御SQL注入模块的基础上，添加了数据库选型模块，使WAF可以对不同数据库的网络应用进行针对性防御