Từng là một kiểu tấn công vào trang web phổ biến. Bằng cách chèn các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, kẻ tấn công có thể đăng nhập mà không cần username và password, remote execution, dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì, có thể dùng Internet Explorer, Netscape, Lynx, ...