L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (Structured Query Language, langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.