SQL Injection يک نوع حمله با استفاده از ارسال يک رشته(String) حاوي کد مخرب به SQL Server Instance مي باشد. کد مخرب حاوي يک دستور معتبر SQL  است که به طور طبيعي توسط SQL سرور اجرا مي شود.
فرم اوليه اين نوع حمله شامل درج يک دستور SQL در مقاديري است که توسط برنامه از کاربر دريافت مي شود. به طور مثال فرض کنيد برنامه نام يک طرف حساب را دريافت و ليست سفارشات خريد مربوط به طرف حساب انتخابي را ليست مي کند. کد مربوط به تهيه ليست مي تواند شبيه به زير باشد:
 

SELECT * FROM CustomerOrder WHERE CustomerName=’@pUserInput’

 فعاليت شرکت نرم افزاري