SQL-injectie is een aanval waarbij kwaadwillende invoer wordt gebruikt om databasecommando’s te manipuleren. Door ongefilterde of verkeerd verwerkte invoer kan een aanvaller extra SQL-code laten uitvoeren, met als doel data uitlezen, aanpassen of verwijderen.
Dit ontstaat meestal in formulieren of URL-parameters waar invoer direct in databasequeries terechtkomt. Als invoer niet strikt wordt gevalideerd of geparametriseerd, kan de database het verschil niet zien tussen normale data en kwaadaardige instructies.
De impact varieert van het uitlekken van gevoelige gegevens tot volledige controle over de database. In sommige gevallen kan dit verder escaleren naar toegang tot het onderliggende systeem.
SQL-injectie is daarmee geen theoretisch risico, maar een gevolg van hoe applicaties omgaan met vertrouwen in invoer.