DBMS 에서 변수 값을 '?'로 대체하여 컴파일 한 뒤, 이 후 변수 값을 대입하여 실행하는 것
요약하자면 실행될 수 있는 쿼리 코드를 입력값으로 전달하여 서버의 데이터베이스를 공격하는 방법이다.
나무 위키에 설명이 잘되어 있다.
Abraham Silberschatz, 데이터베이스시스템 7판, 172-174