SQL注入（英语：SQL injection），也称SQL注入或SQL注码，是发生于应用程序与数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了字符检查，那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏或是入侵。

有部分人认为SQL注入是只针对Microsoft SQL Server而来，但只要是支持批处理SQL指令的数据库服务器，都有可能受到此种手法的攻击。

在应用程序中若有下列状况，则可能应用程序正暴露在SQL Injection的高风险情况下：

某个网站的登录验证的SQL查询代码为

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"