Un Ataque de Inyección SQL (SQLIA) es una importante amenaza de ciberseguridad para los servicios web, y sus diferentes etapas pueden causar diferentes niveles de daño a un sistema de información. Los atacantes pueden construir declaraciones SQLIA complejas y diversas, que a menudo provocan que la mayoría de los métodos de detección existentes basados en entradas tengan una alta tasa de falsos negativos al enfrentarse a declaraciones SQLIA deformadas o desconocidas. Aunque algunos trabajos existentes han analizado diferentes características para las etapas de SQLIA desde la perspectiva de los atacantes, se centran principalmente en el análisis de etapas en lugar de la identificación de las diferentes etapas. Para detectar SQLIA e identificar sus etapas, analizamos el tráfico saliente del servidor web y encontramos que puede diferenciar entre el tráfico de SQLIA y el tráfico normal, y el tráfico saliente generado durante las dos etapas de SQLIA presenta características distintas. Al emplear 13 características extraídas del tráfico saliente, proponemos un método de detección de SQLIA e identificación de etapas basado en el tráfico saliente (SDSIOT), que es un método de dos fases que detecta SQLIAs en la Fase I e identifica sus etapas en la Fase II. Importante, no es necesario analizar las declaraciones maliciosas complejas y diversas realizadas por los atacantes. Los resultados experimentales muestran que SDSIOT logra una precisión del 98.57% para la detección de SQLIA y del 94.01% para la identificación de etapas de SQLIA. Notablemente, la precisión de la detección de SQLIA de SDSIOT es 8.22 puntos porcentuales más alta que la de ModSecurity.