Les Blind SQL Injections, ou "injections SQL à l'aveuglette" font partie des techniques avancées d'injections SQL. On les utilise dans le cas de scripts à réponse binaire, c'est à dire qui retournent une réponse du type soit vrai, soit faux. C'est le cas par exemple des formulaires d'authentification. Ce type de script n'affiche pas le résultat d'une injection mais indique simplement s'il y a erreur ou succès, d'où la difficulté apparente d'exploitation. C'est pourquoi il faut dans la plupart des cas utiliser la méthode de la force brute, mais de manière relativement intelligente, permettant de gagner un temps énorme.

Il est possible à partir d'une simple faille d'injections SQL de récupérer des informations très importantes pour une attaque potentiel, tels que le nombre de champs d'une table, leur type, leur nom, le nom des tables, la version du serveur etc