Web应用安全是信息安全的一个分支，主要涉及Web站点、Web应用和Web服务的安全问题。随着Web应用安全事件的频繁出现及其带来的巨大危害，Web应用的安全问题已成为业界广泛关注的焦点，也成为网络安全的核心问题之一。农产品供应链管理平台以Web应用为主，其中涉及大量的敏感数据和商业数据，保证平台的安全具有重大的意义。　　 然而，由防火墙、入侵检测系统和入侵防御系统组成的传统安全防护体系对Web应用所起的保护作用有限;另外，由于Web应用安全比较复杂而且安全需求随着系统的不同灵活多变，所以不同系统的安全组件无法很好的复用。因此，本文针对农产品供应链管理平台的实际情况，主要对平台的安全访问控制和SQL注入防范这两个方面进行了设计。　　 首先，根据平台用户的现状提出了两级授权模式;其次，在传统的基于角色访问控制模型的基础上引入了数据安全访问策略，通过对原有业务SQL分析并根据数据安全访问策略对其扩展后，再进行数据访问;然后，借助Spring Security安全框架实现了功能级安全访问控制，并在此基础上扩展了数据级安全访问控制;最后，采用面向切面的编程思想对系统业务组件中参与SQL拼接的参数进行SQL注入检查。　　 基于上述的设计方案，本文实现了一个包括安全访问控制和SQL注入防范的安全框架。测试表明，该框架能够实现功能级访问控制和数据级访问控制，能够较好地对SQL注入进行防范。保证了平台的安全，同时具有良好的扩展性。