SQL Injection (SQLi) là kỹ thuật tấn công phổ biến trong bảo mật ứng dụng web, đây là kỹ thuật cho phép người tấn công xâm nhập, truy xuất cơ sở dữ liệu bằng cách khai thác lỗ hổng đầu vào không được xử lý đúng cách. Kỹ thuật tấn công này được sử dụng để đánh cắp dữ liệu hoặc thậm chí chiếm quyền kiểm soát hệ thống. Việc thiếu triển khai các biện pháp bảo mật trong quá trình phát triển ứng dụng web là nguyên nhân chính dẫn đến sự phổ biến của SQLi. Bài báo thực hiện phân tích và đánh giá các kỹ thuật tấn công SQL Injection thường gặp gồm: Blind SQLi, Union-based SQLi và Error-based SQLi. Từ đó, đề xuất một số giải pháp phòng chống để xây dựng hệ thống an toàn hơn như: Sử dụng truy vấn tham số hóa và quyền tối thiểu, triển khai tường lửa ứng dụng web (WAF) hay mã hóa bảo mật.