完善的访问控制管理和有效的SQL注入防范是保证Web应用安全的两个重要方面。本文综述了国内外基于角色的访问控制及SQL注入防范方面的研究现状，提出了基于RBAC的细粒度访问控制模型和基于分析树的SQL注入防范方法。具体完成的工作如下：针对RBAC模型中用户无法获得角色的部分权限和父角色无法继承子角色的部分权限问题，引入了不可获得权限集和不可继承权限集，提出了一种基于RBAC的细粒度访问控制模型，并给出了该模型的角色权限算法和用户权限算法。通过示例分析，该模型可以有效的解决用户获得角色的部分权限和角色权限的部分继承问题。针对Web应用系统容易受到SQL注入攻击的问题，提出了一种基于分析树的防范SQL注入方法。通过实验分析，该方法可以有效地防止SQL注入攻击，保护系统的数据信息安全。同时，该方法在检测SQL注入时所需的时间是毫秒级的，所以在运行时间方面对系统造成的影响很小。对SSH(SpringMVC、Spring、Hibernate)框架进行了细粒度访问控制及SQL注入防范两方面的集成，集成后的SSH框架为Web应用系统提供了灵活、有效的访问控制管理和防止SQL注入攻击的功能。基于集成细粒度访问控制及SQL注入防范的SSH框架，设计并实现了“浙江省高校教学改革与建设项目管理系统”。