Un'iniezione di comando è un'exploit di una debolezza del sistema per ottenere l'accesso al sistema allo scopo di eseguire il codice dannoso, raccogliere i dati degli utenti e impegnarsi in altre attività.Mentre esiste il potenziale per l'iniezione di comando di essere benigno di natura, di solito non lo è e può presentare una significativa minaccia per la sicurezza.Esistono numerose soluzioni alternative progettate per prevenire questa attività nei sistemi informatici.

Uno dei punti più comuni di vulnerabilità per un'iniezione di comando è un modulo, su una pagina web o in un sistema informatico.I moduli consentono alle persone di inserire i dati e vengono quindi elaborati dal sistema.Se non ci sono vincoli sul tipo di dati inseriti nel modulo, è possibile che le persone inseriscano il codice del computer che il sistema leggerà ed eseguirà.I moduli su pagine Web possono anche convertire l'input in visualizzazione ad altri utenti, esponendo anche altre persone a codificare;Ad esempio, qualcuno potrebbe lasciare uno script dannoso nei commenti su un sito Web.

Quando il codice esegue, potrebbe fare cose come fornire alle persone l'accesso al back -end di un sistema informatico, incluso l'accesso amministrativo, e potrebbe anche piantare virus emalware su un sistema informatico.Le iniezioni di comando possono essere progettate per diffondersi, poiché i computer infetti interagiscono con computer non infetti su una rete.Possono diffondersi molto rapidamente e possono causare danni sostanziali lungo la strada.

Un modo per evitare un'iniezione di comando è progettare moduli e altri input in un modo progettato per limitare ciò che le persone possono entrare.Sui commenti su Internet, ad esempio, probabilmente non ci sarebbero un motivo legittimo per gli utenti di inserire gli script e il modulo di commento potrebbe semplicemente rifiutare lo script, consentendo comunque HTML per il markup e lo stile.Allo stesso modo, in un programma per computer, i moduli di input potrebbero rifiutare gli input di determinati caratteri, impedendo alle persone di eseguire il codice nel modulo.

Il potenziale rischio presentato dall'iniezione di comando è stato notato per la prima volta negli anni '90.Numerosi designer hanno affrontato il problema e hanno elaborato vari modi per prevenire o fermare gli attacchi di iniezione di comandi.Gli hacker hanno anche tentato di sviluppare le proprie soluzioni alternative, sviluppando modi nuovi e creativi per eseguire il codice attraverso punti deboli in un sistema informatico.Alcune persone sviluppano nuove tecniche per interesse puramente accademico e occasionalmente provocano il caos per caso quando la loro ricerca fugge in natura, per così dire.