本发明设计了一种面向PHP程序的SQL注入行为检测系统。首先，该系统使用PHP扩展技术在SQL函数执行时获取SQL语句，并记录攻击者所携带的身份信息；基于以上信息生成SQL请求日志，并将该日志作为分析源。然后，基于SQL语法和抽象语法树，实现了污点标记的SQL语法分析过程，并使用污点分析技术，提取语法树中SQL注入行为的多个特征。最后，使用随机森林分类算法实现SQL注入行为的判定。与正则匹配检测技术对比实验结果显示，通过该系统检测SQL注入行为，准确率为96.9%，准确率提高了7.2%。该系统的信息获取模块能以扩展形式加载在任何PHP应用程序中，因此该模型可移植性强，在安全审计和攻击溯源中具有应用价值。