SQL Injection ist einer der Urväter der Code Injection. Hierbei geht es darum, SQL-Code in die Anwendung zu injizieren, um Datenbankanfragen zu manipulieren, um gegebenenfalls mehr Informationen aus der Datenbank zu erhalten oder gezielt Datensätze zu verändern. SQL Injection war vor ein paar Jahren die häufigste Webanwendungsschwachstelle überhaupt. Aufgrund des steigenden Sicherheitsbewusstseins ist das Vorkommen heute geringer geworden, obgleich viele Gegenmassnahmen heute ebenfalls umgangen werden können. Die Mächtigkeit der Auswirkungen hat sich jedoch nicht verringert.