'''Injeksi SQL ''' (''BahasaBahaasa Inggris: [[:en:SQL injection|SQL Injection]]'')adalah sebuah teknik yang menyalahgunakan sebuah [[celah keamanan]] yang terjadi dalam lapisan [[basis data]] sebuah [[aplikasi]]. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari [[karakter-karakter pelolos]] [[bentukan string]] yang diimbuhkan dalam pernyataan [[SQL]] atau masukan pengguna tidak [[bertipe kuat]] dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa pemrogramanyang lain.
== Bentuk-bentuk celah keamanan injeksi SQL ==
=== Karakter-karakter pelolos yang tidak disaring secara benar ===
[[Bentuk]] injeksi SQL ini terjadi ketika masukan pengguna tidak disaring dari [[karakter-karakter pelolos]] dan kemudian diteruskan ke dalam sebuah pernyataan [[SQL]]. Ini menimbulkan potensi untuk memanipulasi pernyataan-pernyataan yang dilakukan pada basis data oleh pengguna akhir aplikasi.
Baris kode berikut menggambarkan celah keamanan ini:
Baris 29:
SELECT * FROM pengguna WHERE nama = 'a';DROP TABLE pengguna; SELECT * FROM data WHERE nama LIKE '%';
