Si un sitio web no toma las medidas adecuadas para sanear la introducción de datos, un hacker puede inyectar el código SQL que quiera. De este modo, el sitio web envía el código del hacker, la carga útil, a su servidor. Cuando llega a la base de datos del sitio web, ubicada en su servidor, la carga útil del hacker entra en acción e interfiere en la base de datos, de modo que el hacker puede cumplir sus objetivos.
