Een SQL-injectie (ook wel SQLi genoemd) is een webapplicatie kwetsbaarheid waarbij het mogelijk is om kwaadaardige SQL-code te injecteren. Aanvallers kunnen SQL-injectiekwetsbaarheden gebruiken om beveiligingsmaatregelen van applicaties te omzeilen. Ze kunnen bijvoorbeeld de authenticatie en autorisatie van een webpagina of webapplicatie omzeilen, maar het is vaak ook mogelijk om de inhoud van de volledige SQL-database op te vragen. Een SQL-injectie kan ook gebruikt worden om records in de database toe te voegen, te wijzigen of te verwijderen.
De organisatie OWASP (Open Web Application Security Project) noemt (SQL-)injecties in hun OWASP Top 10 2021 als de nummer drie bedreiging voor de beveiliging van webapplicaties.[1]
