حقن إس كيو إل (بالإنجليزية: SQL INJECTION)، أو حقن تعليمات الاستعلام البنيوية (SQL) بإضافات. الهدف هو استغلال أي ثغرة أمنية موجودة بطبقة قاعدة البيانات التابعة لأي برنامج (DATABASE LAYER). هذه الثغرات ممكن أن تكون حاضرة عندما لا يتم تصفية مدخلات المستخدم لبعض الحروف والرموز الخاصة (ESCAPE CHARACTERS) المضمنة داخل جمل لغة الاستعلام البنيوية، أو أن لا يتم مراجعة نوعية المدخلات إن كانت نصية أم عددية (STRONGLY TYPED) مما يسبب عدم التكهن بنتيجة تنفيذها.
في الحوسبة، يعد حقن اس كيو ال أسلوبا لحقن التعليمات البرمجية يستخدم لمهاجمة التطبيقات التي تعتمد على البيانات حيث يجرى إدخال عبارات لغة الاستعلامات المهيكلة الضارة في حقل إدخال للتنفيذ (مثال لتفريغ محتويات قاعدة البيانات للمهاجم). يجب أن يستغل إدخال SQL ثغرة أمنية في برنامج أحد التطبيقات، مثال، عندما يجري تصفية إدخال المستخدم بشكل غير صحيح تسلسل الهروب الحرفي للسلسلة المضمنة في عبارات SQL أو لم يُكتب إدخال المستخدم بشكل واضح وكذلك يجري تنفيذه بشكل غير متوقع. يُعرف حقن اس كيو ال في الغالب باسم ناقل الهجوم في مواقع الويب ولكن يمكن استخدامه لمهاجمة أي نوع من انواع قواعد بيانات اس كيو ال.
تسمح هجمات الحقن اس كيو ال للمهاجمين بانتحال الهوية، والتلاعب في البيانات الموجودة، والتسبب في مشكلات التنصل مثل إلغاء المعاملات أو تغيير الأرصدة، والسماح بالكشف الكامل عن جميع البيانات الموجودة على النظام، أو إتلاف البيانات أو جعلها غير متوفرة بأي طريقة أخرى، وأن يصبحوا مسؤولين عن خادم قاعدة البيانات. يمكن أيضًا أن تتأثر قواعد بيانات ان أو اس كيو ال الموجهة للمستندات بهذه الثغرة الأمنية.
في دراسة أجريت في عام 2012، لوحظ أن متوسط في تطبيق الويب تلقى اربع حملات هجومية شهريًا، وتلقى تجار التجزئة بلغ ضعف عدد الهجمات على مثل الصناعات الأخرى.