データベースを使用するWebサイトで、悪意あるSQLを挿入し、データベースの中身を抜き取ったり、全て削除してしまうなどの攻撃をする事です。

通常データベースは、SQLという命令語を使って、データを取り出します。
会員制のサイトでは、会員のIDとパスワードを入力すると、会員情報の閲覧や修正を行える物が多数ありますが、
これは、会員が入力した情報をSQLに組み込み、データベースに命令を行っている事になります。
所が、会員IDに悪意ある文字が書き込まれた場合、SQLインジェクションへの対策を施していないサイトでは、データベースへの命令分が操作されてしまいます。
例えば、データベースの中身を全部取ってこいという命令を出されたり、書き換えてしまったり、全てを削除されてしまったりします。
この攻撃を防ぐにはユーザが入力した情報をチェックし、決められたルールに従って特定の文字を変換する「サニタイジング」という処理が必要になります。