Mit SQL-Injection können Angreifer nicht nur die Datenbank manipulieren, sondern vollautomatisch gleich den kompletten Server samt Betriebssystem unter ihre Kontrolle bringen. (Infos dazu auch im heise-Security-Artikel „Giftspritze - SQL-Injection“). Das demonstrierte der IT-Sicherheitsspezialist Bernardo Damele Assumpcao Guimaraes während der Hackerkonferenz Black Hat mit seinem Tool sqlmap. Das von Guimaraes entwickelte Tool beherrscht diverse Angriffsarten für drei gängige SQL-Server – und das sowohl unter Windows als auch unter Linux.