SQL-инъекции позволяют злоумышленникам внедрять и выполнять произвольные SQL-запросы в базу данных через уязвимые места в приложении. Это может привести к:

Получению несанкционированного доступа к данным (чтение, изменение, удаление).
Обходу механизмов аутентификации и авторизации.
Выполнению административных команд базы данных.
Кража конфиденциальной информации, например, паролей или персональных данных.
Повреждению или удалению данных.
В некоторых случаях — выполнению команд на сервере (если база данных поддерживает такие возможности).

Пример: если приложение формирует запрос так:

SELECT * FROM users WHERE username = '" + userInput + "';

и пользователь вводит admin' OR '1'='1, то запрос становится:

SELECT * FROM users WHERE username = 'admin' OR '1'='1';

что вернёт все записи, обходя проверку.

Какие возможности предоставляет использование SQL-инъекций для атакующих или злоумышленников?