Η έγχυση κώδικα (code injection) είναι ένας πιο εξελιγμένος τύπος επίθεσης, όταν κακόβουλος κώδικας εισάγεται μέσω κάποιας ανοιχτής φόρμας του ιστότοπου ή μέσω μιας διεύθυνσης URL. Ο στόχος της επίθεσης είναι να υποκινήσει τη βάση δεδομένων ή άλλο τμήμα του ιστότοπου να εκτελέσει λειτουργίες που δεν έχουν ορατό αποτέλεσμα, αλλά καταλαμβάνουν τους πόρους του διακομιστή μέχρι να τον κατακλύσουν με δραστηριότητες, τερματίζοντας έτσι τη λειτουργία του. Σε ορισμένες περιπτώσεις, μετά από αυτές τις επιθέσεις, ο ιστότοπος καθίσταται άχρηστος, οπότε το περιεχόμενο αποκαθίσταται με το τελευταίο αποθηκευμένο αντίγραφο. Η τακτική δημιουργία αντιγράφων ασφαλείας του ιστότοπου θεωρείται δικαίως μια πρωταρχική διαδικασία ασφαλείας.

Το cross-site scripting (XSS) χρησιμοποιείται για την πραγματοποίηση επίθεσης μέσω ευάλωτων εφαρμογών ιστού, δηλαδή για τη διακινδύνευση της αλληλεπίδρασης των κανονικών χρηστών με τον ιστότοπο. Ο επιτιθέμενος προετοιμάζει κακόβουλο κώδικα JavaScript, ο οποίος στη συνέχεια σερβίρεται στον χρήστη που αλληλεπιδρά με τον ιστότοπο αντί για αυτό που θα ήταν μια κανονική απάντηση. Εάν είναι επιτυχής, ο επιτιθέμενος μπορεί για παράδειγμα να αποκτήσει πρόσβαση σε εμπιστευτικές πληροφορίες του χρήστη, όπως διαπιστευτήρια σύνδεσης, ή ενδεχομένως να αναλάβει τον έλεγχο του ιστότοπου σε περίπτωση που ο στοχευόμενος χρήστης έχει διαχειριστική πρόσβαση.

Η έγχυση SQL είναι μια επίθεση που βασίζεται στην παρεμβολή των ερωτημάτων που μπορούν να κάνουν οι χρήστες στη βάση δεδομένων ενός ιστότοπου (η SQL είναι μια ευρέως διαδεδομένη γλώσσα προγραμματισμού για βάσεις δεδομένων), προκειμένου να αποκτήσουν πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στη βάση δεδομένων, συμπεριλαμβανομένων πληροφοριών στις οποίες δεν προβλέπεται να έχουν πρόσβαση οι χρήστες μέσω τυπικών ερωτημάτων, όπως προσωπικά δεδομένα του χρήστη, διαπιστευτήρια σύνδεσης κ.λπ. Ο επιτιθέμενος στοχεύει στη βάση δεδομένων με συγκεκριμένες εντολές για να διαταράξει την κανονική λειτουργία της και να λάβει πρόσβαση στα αποθηκευμένα δεδομένα, τα οποία στη συνέχεια μπορούν ενδεχομένως να τροποποιηθούν ή να διαγραφούν. Σε ορισμένες περιπτώσεις, η έγχυση SQL μπορεί επίσης να κλιμακωθεί για να επιτεθεί στον διακομιστή που φιλοξενεί τη βάση δεδομένων.