Injection คือเทคนิคการแทรกคำสั่งเข้าไปใน code ภาษาต่างๆ ส่วนมากจะพบได้จากการรับ input มาจาก user โดยที่ server ไม่ได้มีมาตรการป้องกันหรือยอมรับให้นำคำสั่งที่ได้รับมา นำไปประมวลผลอย่างไม่ปลอดภัย โดยการ Injection นั้นมีหลายประเภท แต่ที่ร้ายแรงและพบบ่อยจะเป็น SQL Injection คือการแทรกคำสั่งเข้าไปใน code ภาษา SQL ที่ server เรียกใช้

ก่อนจะทำการ SQL Injection ผมแนะนำให้ศึกษาพื้นฐานที่จำเป็นของภาษา SQL โดยคำสั่งที่จำเป็นจะต้องรู้หลักๆ ก็คือคำสั่ง SELECT ที่ใช้ในการเลือกข้อมูลจากฐานข้อมูลมาแสดง โดยคำสั่ง SELECT นั้นมีเงื่อนไขและการจัดเรียงหลายรูปแบบในการเลือกข้อมูล เช่น WHERE, ORDER BY, UNION เป็นต้น สามารถศึกษาได้จากเว็บนี้