SQL Injection é um tipo de ataque que visa a vulnerabilidade de um aplicação que possue uma entrada de dados que vai ser utilizada para fazer alguma execução no banco de dados, onde esta entrada não foi validada.
$user_name=$_POST["input_user"]; $pwd_name=$_POST["input_pwd"];
Select user_name, pwd_name FROM sys_users WHERE user_name='$user_name' AND pwd_name='$pwd_name'
No caso acima temos uma simples consulta ao banco de dados onde $user_name e $pwd_name são campos de texto de um formulário que está verificando o login e a senha de um determinado usuário. Se um atacante desejar, ele pode facilmente atacar o sistema que possue esse query para verificar o login.
