SQL-injektion er en type af cyberangreb, hvor en hacker udnytter sårbarheder i en webapplikation, der bruger SQL-database. Hackeren indsætter SQL-kode i inputfelterne på en webside med det formål at få adgang til databasen og udføre uautoriserede handlinger, som kan omfatte sletning, ændring eller hentning af data.

SQL-injektioner kan udnytte en række forskellige svagheder i en webapplikation, inklusiv dårlig validering af brugerindtastninger, mangelfulde inputfiltrerings- og godkendelsesprocedurer og svage konfigurationsindstillinger.

Angrebets effektivitet afhænger af hackerens evne til at forstå databasearkitekturen og konstruere en SQL-kommando, der vil give adgang til det ønskede resultat. SQL-injektion kan have alvorlige konsekvenser for en organisation, herunder tab af fortrolige oplysninger, ødelæggelse af data eller misbrug af systemressourcer.

For at undgå SQL-injektioner bør udviklere og administratorer sikre, at applikationerne er korrekt konfigureret, og at inputvaliderings- og filtreringsprocedurer er på plads. Det er også vigtigt at implementere sikkerhedsforanstaltninger som f.eks. firewalls og adgangskontrol til at beskytte databaser mod angreb.