hOLA EL sql injection es la forma, metodo para meter o inyectar codigo maligno en una base de datos, el cual puede obtener informacion de la tabla que ocupas, puedes borrar registros, obtener passwords de tablas, crear store procedures, y no necesitas ningun softare mas que conocimiento de este tipo de ataques e imaginacion para hacerlo en sitios que tengan estos problemas,

claro esto tambien se da por descuido de los programadores que no validan sus variables que hacen consulta en las bases de datos, he aqui algunos ataques sobre sql injections

en el caso de asp
pagina.asp?variable=valor
puedes poner un pagina.asp?variable='
o pagina.asp?variable=select * from datos

etc etc,, tambien puedes prevenir estos ataques validando las entras y remplazando los caracteres raros que pudisen originar este ataque