由于 SQL 指令在部份进阶使用时，语法会依照特定条件来变换，而且若是表格中的字段过多时，许多开发人员都会习惯以字串组立的方式建立 SQL 指令，而且又使用系统管理员级的帐户连到数据库，因此让黑客有机会利用 SQL 的组立方式进行攻击，像是在指令中添加部份刺探性或破坏性的指令 （例如 DROP TABLE、DROP DATABASE 或是 DELETE * FROM myTable 等具破坏性的指令），让数据库的资料或实体服务器被破坏，导致服务中断或是系统瘫痪等后果，此种攻击手法称为SQL注入（SQL Injection）。目前实务上较有效的防御方法，就是全面改用参数化查询，或是检查输入数据，过滤掉可能的危险指令或数据来防范