大部分網(wǎng)站都是采用Web動態(tài)網(wǎng)頁結(jié)合后臺數(shù)據(jù)庫架設(shè)而成的。網(wǎng)頁從用戶的請求中得到某些參數(shù)，然后構(gòu)成SQL語句請求發(fā)給數(shù)據(jù)庫，再將從數(shù)據(jù)庫中得到的結(jié)果返回給網(wǎng)頁，從而完成網(wǎng)頁所執(zhí)行的功能。

    在許多Web網(wǎng)站系統(tǒng)中，由于網(wǎng)站程序中的變量處理不當(dāng)，或者對用戶提交的數(shù)據(jù)過濾不足，很可能產(chǎn)生一種被為SQL注入（SQL Injection）的漏洞。惡意攻擊者可以利用用戶可提交或可修改的數(shù)據(jù)，構(gòu)造特殊的SQL語句，將SQL語句插入到系統(tǒng)實(shí)際執(zhí)行的SQL語句中，從而任意獲取數(shù)據(jù)庫中的某些重要信息，如管理員用戶名和密碼等；基至可以利用SQL注入漏洞控制整個網(wǎng)站服務(wù)器。

    簡單說來，SQL注入漏洞就是由于用戶可構(gòu)造執(zhí)行特殊SQL語句的漏洞；所謂的SQL注入攻擊就是用戶利用SQL注入漏洞非法獲取數(shù)據(jù)庫信息或者入侵網(wǎng)站服務(wù)器的一種黑客攻擊手段。根據(jù)網(wǎng)站所使用的Web腳本語言不同，SQL注入攻擊可以分為ASP注入、PHP、JSP、ASPX注入等多種方式。ASP注入與PHP及其他語言的注入原理是一樣的，但是由于Web語言環(huán)境不同，因此實(shí)際注入時所使用的語句也不盡相同。