SQL-injektion er en type cyberangreb, der forsøger at injicere ondsindet kode, kendt som SQL-angivelser, gennem en applikations indtastningsfelter. Disse SQL-angivelser udføres derefter i databasen, hvilket giver angribere mulighed for at få adgang til følsomme data eller manipulere databaser for at forårsage alvorlig skade.

SQL-injektioner fungerer ved at udnytte sårbarheder i webapplikationskoden. Angribere kan injicere SQL-forespørgsler i et sårbart websted eller program, som derefter bliver udført i databasen. Dette giver dem mulighed for at omgå autentificeringsprotokoller, foretage ændringer i de data, der er gemt i databasen, og endda få fjernadgang til webserveren. Det er også muligt for angribere at bruge SQL-injektion til at stjæle brugeroplysninger og fortrolige forretningsdata.

Den mest almindelige måde, hvorpå en angriber kan udføre et vellykket SQL-injektionsangreb, er ved at indtaste ondsindede strenge i tekstfelter på et program eller et websted. Disse strenge kan indeholde kommandoer som DROP TABLE og DELETE from, som, hvis de udføres, vil slette hele tabeller fra databasen. Andre kommandoer kan bruges til at oprette nye konti med administrative rettigheder, hvilket giver angribere, der har disse rettigheder, ubegrænset adgang til et system.

På grund af dens evne til at forårsage betydelig skade er det vigtigt for både organisationer og it-professionelle at forstå, hvordan SQL-injektion fungerer, og hvordan de kan beskytte sig mod den. For at denne beskyttelse kan være effektiv, bør organisationer sikre, at deres applikationer er sikret mod angreb via parametrerede forespørgsler og lagrede procedurer i stedet for dynamiske forespørgsler med brugerens inputværdier, der sendes direkte ind i forespørgselsstrengen. Desuden bør udviklerne anvende krypteringsteknikker som "salt", når de gemmer adgangskoder i deres databaser, og være særligt opmærksomme, når de koder logikken til validering af brugerindtastning, da selv en lille programmeringsfejl kan blive en åben dør for en angribers udførelse af skadelig kode i et sårbart system.