Es una amenaza latente que todo programador o desarrollador de aplicaciones web debe tenerlo siempre presente, cuantos más tipos de filtros o validaciones tengan sus formularios será mejor, aunque está cien por cien comprobado que no hay ninguna web que esté inmune al ataque de estas personas mal nombradas como “hackers”. Bien profundicemos más ésta técnica.
Como todos sabemos en toda web dinámica existe una comunicación directa y en tiempo real entre el servidor de datos y los clientes que acceden a ella, por citar un ejemplo sencillo, para acceder a una web restringida ésta nos solicita usuario y contraseña (comúnmente llamado loguearse) ; la web le presenta un formulario donde el usuario ingresa su usuario y contraseña, éstos datos son enviados generalmente a otro archivo que los procesa, el cual realiza una query (consulta SQL) accediendo a la BD sin más.  Mas o menos de ésta manera:

$sql= "SELECT * FROM usuarios WHERE usuario = '" + Usuario + "' and password ='"+ pass + "';"

Un usuario común y corriente colocaría por ejemplo su usuario y contraseña normal, así: pepe y 020304 respectivamente, lo que la consulta quedaría así :

Hasta aquí todo normal, pero qué pasaría si un usuario mal intencionado además de esto agregara lo siguiente  en el campo password:

El código de color rojo es la inyección SQL que se está realizando, y esto tranquilamente nos permitiría ingresar en sitios restringidos, claro está en aquellas web donde no le han dado la respectiva importancia a ésta técnica. Lo que la query quedaría así:

Como vemos la inyección sql (de color rojo) se ha realizado con la intención de burlar la restricción de acceso, pero se puede realizar cosas mucho más desastrosas en la BD, cosas como estas:

Con lo cual nos eliminaría toda la tabla que almacena los datos de los usuarios. “Terrible verdad!”
En conclusión está técnica mal intencionada de dañar  webs puede llegar a ser realmente lamentable para los webmasters  ya que coloca código malicioso embebido dentro del bueno