loc. Piratage d'application web consistant à entrer des commandes SQL directement dans des champs prévus pour les utilisateurs (exemple: page d'un formulaire de commande). De cette manière, l'attaquant peut modifier le comportement ou les résultats de la requête à son profit. C'est une méthode souvent employée en conjonction avec un serveurTFTP pour faire évader des données.
Comme pour les attaques XSS, il s'agit ici de tirer parti de mauvais contrôles des entrées utilisateurs.