En kommandoinjektion er en udnyttelse af en systems svaghed for at få adgang til systemet med det formål at udføre ondsindet kode, høste brugerdata og deltage i andre aktiviteter.Selvom der er et potentiale for, at en kommandoinjektion er godartet i naturen, er det normalt ikke, og det kan udgøre en betydelig sikkerhedstrussel.Der er en række løsninger, der er designet til at forhindre denne aktivitet i computersystemer.

Et af de mest almindelige sårbarhedspunkter for en kommandoinjektion er en form, enten på en webside eller i et computersystem.Formularer giver folk mulighed for at indtaste data og behandles derefter af systemet.Hvis der ikke er nogen begrænsninger for den indtastede type data, er det muligt for folk at indtaste computerkode, at systemet læser og udfører.Formularer på websider kan også konvertere input til visning til andre brugere, der udsætter andre mennesker for kode;For eksempel kunne nogen efterlade et ondsindet script i kommentarerne på et websted.

Når koden udfører, kan det gøre ting som at give folk adgang til backend af et computersystem, inklusive administrativ adgang, og kan også plante vira ogmalware på et computersystem.Kommandoinjektioner kan være designet til at sprede sig selv, da inficerede computere interagerer med uinficerede computere over et netværk.De kan sprede sig meget hurtigt og kan forårsage betydelig skade undervejs.

En måde at undgå kommandoinjektion er at designe formularer og andre input på en måde, der er designet til at begrænse, hvad folk kan komme ind på.På internetkommentarer ville der for eksempel sandsynligvis ikke være nogen legitim grund for brugerne at indtaste scripts, og kommentarformularen kunne simpelthen afvise script, mens den stadig tillader HTML for markup og styling.Ligeledes i et computerprogram kunne inputformularerne nægte input af visse tegn og forhindre folk i at udføre kode i form.

Den potentielle risiko, der blev præsenteret ved kommandoinjektionen, blev først bemærket i 1990'erne.Talrige designere har taklet problemet og kommet med forskellige måder at forhindre eller stoppe kommandoinjektionsangreb.Hackere har også forsøgt at udvikle deres egne løsninger og udvikle nye og kreative måder at udføre kode gennem svage punkter i et computersystem.Nogle mennesker udvikler nye teknikker af rent akademisk interesse og skaber lejlighedsvis kaos ved et uheld, når deres forskning slipper ud i naturen, så at sige.