隨著政務公開、電子商務的推進，政府和企業(yè)存儲在計算機中的敏感數(shù)據(jù)呈快速增加趨勢，而這些數(shù)據(jù)往往通過WEB系統(tǒng)面向互聯(lián)網(wǎng)公開。由于互聯(lián)網(wǎng)是個開放的網(wǎng)絡，WEB系統(tǒng)發(fā)布的信息一直處于在被實時查詢、閱讀、下載或轉(zhuǎn)載的狀態(tài)；WEB系統(tǒng)如果被篡改或竊取，后果難以預料，篡改網(wǎng)頁將會被迅速、廣泛傳播，從而直接危害網(wǎng)站的利益。尤其是政府機關的網(wǎng)站上發(fā)布的重要新聞、重大方針政策以及法規(guī)等，一旦被黑客篡改，將嚴重影響政府形象，甚至造成重大的政治經(jīng)濟損失和惡劣的社會影響。

根據(jù)CN/CERT 報告，僅2007年上半年，我國后綴是gov.cn 的政府網(wǎng)站被篡改的數(shù)量高達1583個，我國政府及企業(yè)WEB系統(tǒng)的安全性急待提高。

根據(jù)OWASP組織報告，目前對WEB業(yè)務系統(tǒng)威脅最嚴重的攻擊方式是SQL注入攻擊（如圖）。成功進行SQL注入后，攻擊者擁有整個系統(tǒng)的最高權(quán)限，可以修改頁面、數(shù)據(jù)，在網(wǎng)頁中添加惡意代碼，危害極大。其攻擊原理是利用程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，導致入侵者可以通過惡意SQL命令的執(zhí)行，獲得數(shù)據(jù)讀取和修改的權(quán)限。

SQL注入攻擊具有如下特點:

一、變種極多，有經(jīng)驗的攻擊者會手動調(diào)整攻擊參數(shù)，致使攻擊數(shù)據(jù)的變種是不可枚舉的，這導致傳統(tǒng)的特征匹配檢測方法僅能識別相當少的攻擊，難以防范。

二、攻擊過程簡單，目前互聯(lián)網(wǎng)上流行眾多的SQL注入攻擊工具，攻擊者借助這些工具可很快對目標WEB系統(tǒng)實施攻擊和破壞。

三、危害大，由于WEB編程語言自身的缺陷以及具有安全編程能力的開發(fā)人員少之又少，大多數(shù)WEB業(yè)務系統(tǒng)均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功，可以對控制整個WEB業(yè)務系統(tǒng)，對數(shù)據(jù)做任意的修改，破壞力達到及至。

據(jù)黑客組織分析，目前具有后臺數(shù)據(jù)庫的WEB業(yè)務系統(tǒng)90％以上存在被SQL注入的可能。