Webサイト/Webアプリケーションに対する攻撃手段の一つ。Webページに設けられた入力フィールドにSQL文を入力したり、SQL文をパラメーターにセットしてアクセスしたりすることで、Webサイト/Webアプリケーションと連動しているデータベースを操作する。SQLインジェクションによる攻撃では、データの流出、改ざん、破壊が引き起こされる。システムの乗っ取りにつながることもある。

 SQLインジェクションは古くから知られた攻撃手法であるが、対策の不備により被害が発生するWebサイトが後を絶たない。独立行政法人の情報処理推進機構(IPA)は安全性の高いWebサイトを構築するための資料として「安全なウェブサイトの作り方」「安全なSQLの呼び出し方」を公開している(http://www.ipa.go.jp/security/vuln/websecurity.html)。「安全なSQLの呼び出し方」では、SQLインジェクションが発生する原因や、適切なSQL文の組み立て方、プラットフォーム別の安全な実装など、実践的な内容を掲載している。