随着Web2.0时代的到来,大量基于B/S架构的应用程序在各个企业的业务系统中得到了广泛的应用。在应用开发过程中,如果开发者缺乏相应的安全意识,则会导致网站存在着安全隐患。SQL注入攻击所造成的损失是灾难性的。目前,大量的研究工作主要是针对于一阶SQL注入攻击,而忽略了对二阶SQL注入的研究。二阶SQL注入对Web应用带来的危害与一阶SQL注入一致,相比与一阶SQL注入,这种漏洞更加细微,更加难以被检测到。通过对比分析一阶SQL注入的过程与产生原理,设计了一个二阶SQL注入防御系统。该系统主要包括随机化模块、语法分析模块、去随机化模块、参数化替换模块。实验结果显示,该系统在二阶SQL注