De term SQL-injectie (Engels: SQL injection) wordt gebruikt voor een type kwetsbaarheid van computerapplicaties, meestal webapplicaties. 

Een SQL-injectie is een soort cyberaanval waarbij een hacker een SQL-codefragment (Structured Query Language) gebruikt om een database te manipuleren en om toegang te verkrijgen tot mogelijk waardevolle informatie.

Het is een van de meest overheersende en dreigende aanvallen omdat deze tegen alle webapplicaties of websites die een op SQL gebaseerde database hebben kan worden gebruikt.

Voorbeelden zijn opmerkelijke aanvallen tegen, onder andere, Sony Pictures en Microsoft.

Hoe werken SQL-injecties?

Een SQL-verzoek is in essentie een verzoek dat naar een database - een archief vol informatie op de computer - wordt verstuurd met het verzamelen van informatie of het uitvoeren van SQL-code als doel.

Een voorbeeld hiervan is inloginformatie die via een webformulier wordt ingestuurd om een gebruiker toegang te geven tot een website.

Deze webformulieren zijn meestal ontworpen om alleen specifieke gegevens zoals een naam en/of wachtwoord te accepteren. Als de informatie is ingevoerd, wordt deze gecontroleerd. De gebruiker krijgt toegang als de informatie overeenkomt met de database. Zij krijgen geen toegang als de informatie niet overeenkomt.

De problemen ontstaan doordat bij veel webformulieren het niet mogelijk is te voorkomen dat meer informatie wordt ingevoerd. Hackers kunnen hier gebruik van maken en invoervelden van het formulier gebruiken om een verzoek naar de database te sturen. Dit kan er voor zorgen dat ze verschillende misdadige activiteiten kunnen uitvoeren zoals het stelen van gevoelige gegevens of informatie in de database manipuleren voor hun eigen doeleinden.