Un injection SQL a lieu quand un cyberattaquant communique une entrée dans un champ de saisie (email, mot de passe, etc.) qui modifie la requête SQL envoyée à la base de données ce qui lui permet d’exécuter d’autres requêtes SQL non souhaitées.
Par exemple, au lieu d’entrer un nom d’utilisateur, le hacker va entrer un guillemet qui permet d’échapper aux limites de la saisie.
La SQLi est à ne pas confondre avec l’XSS qui s’attaque au côté client et à l’utilisateur.