Et angrep der ondsinnet input smugles inn i en databasespørring og endrer hva den gjør.
Klassikeren blant sårbarheter, kjent i tiår, og fortsatt utbredt. Årsaken er alltid den samme: brukerinput limes sammen med spørringen som tekst. Løsningen er også alltid den samme — bruk parameteriserte spørringer, aldri strengsammensetning. Da er problemet borte, ikke redusert.