Injeksi SQL adalah salah satu dari 10 besar bentuk penyerangan terhadap kerentan website yang paling berbahaya. SQL Injection memiliki 3 tipe bentuk penyerangan, yaitu Union-Based, Error-Based, dan Blind SQL Injection. Pada skripsi ini akan menganalisis bagaimana tipe-tipe serangan tersebut dilakukan baik melalui proses penyisipan query maupun melalui aplikasi, yaitu SQLMAP. Hasil dari pengujian didapatkan bahwa melaui PHP, 4 dari 5 pengujian dapat diinjeksi karena penggunaan statement input yang standard. Sedangkan pada pengujian SQLMAP 6 dari 7 website dapat diinjeksi yang disebabkan karena penulisan statement input yang begitu standard, tidak adanya web application firewall (WAF) dan celah pada versi teknologi yang digunakan. Berdasarkan skripsi ini, injeksi SQL dapat dicegah dengan menerapkan bind parameter dan menggunakan WAF sebagai bentuk perlindungan.