SQL-инъекция - это метод инъекции кода, используемый для атаки приложений, управляемых данными, в которых вредоносные операторы SQL вставляются в поле ввода для выполнения (например, чтобы сбрасывать содержимое базы данных злоумышленнику)

Внедрение SQL - это тип уязвимости компьютерной безопасности, обнаруживаемой в приложениях с базами данных SQL, которая позволяет злоумышленникам вводить вредоносные команды SQL в базу данных из пользовательского ввода.

Уязвимость присутствует, когда пользовательский ввод используется непосредственно в командах SQL, а не в качестве параметров или при правильной фильтрации их для escape-символов в кавычках. Это происходит главным образом из-за плохо написанной обработки SQL в клиентских приложениях.

См. Известный пример - инцидент с Bobby Tables и ответ на вики-вопрос сообщества. Как я могу предотвратить внедрение SQL в PHP?

Полезные ссылки