Benutzt die Web-Anwendung eine Datenbank, so kann ein Angreifer durch geschickte Manipulation der Parameter SQL-Anweisungen verändern und damit die Ergebnisse für seine Zwecke beeinflussen. Grund ist, dass oft die Parameter Teil der SQL-Anweisung gemacht werden.
Schutzmaßnahmen sind auch hier wieder die Prüfung der Parameter auf unerwünschte Eingaben. Besondere Zeichen, wie Komma, Semikolon oder Anführungszeichen, müssen mit Escape-Sequenzen versehen werden (``quoting''). Weiterhin sollten interne, sicherheitskritische Daten nicht auf den gleichen Servern gespeichert werden, wo auch öffentliche Daten liegen, sondern auf getrennten und besonders gesicherten Servern.