Una inyección SQL o en inglés SQL Injection es una de las vulnerabiliades web más explotadas según el top 10 de OWASP la cual consiste en manipular una sentencia SQL legítima aprovechando alguna vulnerabilidad o incorrecta validación de consultas para ejecutar otro tipo de comandos sobre la base de datos, por ejemplo, modificar su contenido, borrarla completamente o acceder a datos sensibles como usuarios, contraseñas y números de tarjetas de crédito, incluso ejecutar comandos sobre el sistema operativo, lo que la convierte en una técnica con un nivel de criticidad bastante alto.
Aunque se podría llegar a pensar que se necesitan altos conocimientos de lenguaje SQL, en la actualidad herramientas como sqlmap permiten realizar ataques automatizados con conocimientos mínimos.
Con esta pequeña información nos veremos en próximas entradas, donde estudiaremos en un laboratorio práctico y controlado, cómo se realizan este tipo de ataques y cómo se pueden mitigar.