همانطور که می دانید در اغلب برنامه های کاربردی ت�*ت وب از بانکهای اطلاعاتی استفاده می شود . این برنامه ها داده های ورودی کاربر را از طریق فرمهای html دریافت کرده و بر اساس آن یک query تولید کرده و آنرا به بانک اطلاعاتی ارسال می کنند . در واقع ارتباط بین برنامه ت�*ت وب با بانک اطلاعاتی بر اساس تولید query از داده های کاربر برقرار می شود . اکثر این برنامه ها از زبان SQL برای این ارتباط استفاده می کنند . اما نکته ای که در این بین وجود دارد اینست که تولید query بر اساس داده هایی که کاربر مستقیماً در فیلدهای ورودی صفته وب وارد کرده می تواند خطرناک باشد . بعبارت دیگر اگر برنامه متتویات یک فیلد را که توسط کاربر وارد شده در جلوی یک دستور SQL بچسباند و آنرا جهت اجرا روی بانک اطلاعاتی بفرستد در اینصورت یک هکر ماهر که با زبان SQL آشنا باشد می تواند متتویات این فیلدها را طوری با دستورات SQL پر کند و چون ای داده ها مستقیماً برای تولید query استفاده می شود ممکنست آن query تبدیل به یک فرمان مخرب شده و پس از اجرا ، اهداف نفوذگر را برآورده نماید .
توضیح اساسی حملات SQL Injection
————————————————————————-