Web应用程序已成为金融、医疗保健和电子商务等关键领域不可或缺的一部分，这使它们成为网络攻击的主要目标。传统的安全机制，包括Web应用程序防火墙（WAF）和基于签名的入侵检测系统（IDS），在检测零日漏洞和上下文感知攻击方面存在困难，因此需要更加灵活和智能的解决方案。本调查全面回顾了基于人工智能（AI）的Web应用程序威胁检测方法，重点关注SQL注入（SQLi）和跨站脚本攻击（XSS）等常见攻击类型。本文系统地分析了机器学习、深度学习以及基于Transformer的模型，并强调了可解释AI（XAI）技术（如SHAP和LIME）在提高透明度和分析师信任度方面的日益重要性。我们比较了在广泛使用的数据集（例如CSIC 2010、CICIDS2017、UNSW-NB15）上的最先进模型，使用标准指标评估了它们的性能，并指出了数据集限制、高计算开销以及缺乏实际应用等关键局限性。基于这些分析，该调查概述了未来的研究挑战，并提出了一个轻量级、可扩展且可解释的IDS框架的发展路线图。通过平衡准确性和可解释性，这项工作旨在指导下一代基于AI的系统的开发，以有效抵御不断演变的威胁。