Uma consulta SQL é uma solicitação para que seja realizada alguma ação em um banco de dados, comumente realizada por uma página web que busca um nome de usuário ou senha. Mas como a maioria dos sites não verifica se a entrada consiste no tipo de dado esperado, um hacker pode usar as caixas de texto para enviar suas próprias solicitações, ou seja, injetar SQL no banco de dados. Dessa forma, os hackers são capazes de criar, ler, atualizar, alterar ou excluir os dados armazenados no banco de dados, geralmente com o objetivo de acessar informações sigilosas como números de identidade e dados de cartões de crédito, assim como outras informações financeiras.
Como uma injeção de SQL pode afetar qualquer site ou aplicativo web que use um banco de dados SQL, esta é uma das formas mais antigas, comuns e perigosas de ataques virtuais. Um fato preocupante é que o volume de injeções de SQL está aumentando pois agora existem programas automatizados para realizá-las, o que significa que os hackers são capazes de fazer mais ataques e roubar mais informações do que nunca.
Infelizmente, se o atacante for habilidoso, e impossível detectar um ataque de injeção de SQL até que os dados tenham sido disponibilizados publicamente e/ou o roubo já tenha acontecido. Isso é verdade para a maioria dos usuários, que não têm como saber se o banco de dados que estão acessando foi comprometido.
Como um ataque de injeção de SQL afeta sites, e não computadores ou aparelhos de usuários, a remoção de uma injeção de SQL é responsabilidade do site ou aplicativo. Para o usuário comum, a única proteção é estar atento às notícias para descobrir se alguma empresa anunciou que sua segurança foi violada. Dessa forma, o usuário tem a chance alterar suas informações de login o mais rápido possível, antes que suas contas sejam hackeadas.