SQL-Injection ist eine Angriffstechnik, bei der ein Angreifer bösartige SQL-Befehle in Eingabefelder einer Webanwendung einschleust. Gelingt der Angriff, kann der Angreifer Daten lesen, verändern oder löschen und unter Umständen die vollständige Kontrolle über den Datenbankserver erlangen. Ursache ist fehlende oder unzureichende Eingabevalidierung. Du verhinderst SQL-Injection durch Parameterized Queries (Prepared Statements) und konsequente Eingabevalidierung. Im ISMS ist SQL-Injection eine der kritischsten Schwachstellenklassen und wird durch SAST, DAST und Penetrationstests geprüft.