インターネットからウェブアプリケーションを狙う攻撃の一種。データベースと連携するウェブサイトのURLパラメータや入力フォームなどに、SQL文を含む悪意のある命令を入力して送信し、サーバーに実行させる攻撃手法のこと。被害は個人情報等の重要情報や機密情報の窃取を始め、ウェブページの改ざんや消去、不正ログイン、ページ改ざんによる別の閲覧者への二次被害など多岐にわたる。対策はウェブアプリケーションからデータベースへの命令実行を行う部分で、ユーザーが入力したSQL文を直接実行させないようにすること。具体的にはプレースホルダの実装や特殊文字のエスケープ処理を実装するなどがある。