Er en teknik, hvor en hacker (se hacker) kan sende SQL kommandoer igennem en webapplikation til den bagved-liggende database. Anvendelsen af databaser gør det muligt at udvikle dynamiske websider, der kan skræddersyes til at give en mere brugervenlig og dynamisk oplevelse.
Når en webapplikation er sårbar overfor SQL injection betyder det, at en hacker kan sende specielt udformede SQL kommandoer til databasen, og dermed ændre indholdet på de sider, der dynamisk dannes.
Ofte anvendes denne teknik til at indlejre et script, som bevirker, at en besøgende bruger sendes videre til en anden webside, som forsøger at inficere brugerens pc.