SQL Injection

SQL-ін'єкція - це техніка, що дозволяє зловмиснику внести зміни у виконання SQL-запитів через введення даних на сторінці.

txtUserId = getRequestString("UserId");

txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

Приклад вище створює пошуковий вираз за допомогою змінної (txtUserId), що додається в SQL-запит вибірки даних. Змінна (txtUserId) отримана за допомогою поля вводу (input) HTML-форми на сторінці сайту.