Bij SQL-injectie vul je een bestaande query aan. Over het algemeen kun je geen nieuwe query (stacked query) beginnen. Je vult dus een bestaand commando zoals "SELECT title,content FROM pages WHERE id=$_GET['id']" aan met de id parameter. Die parameter is dan bijvoorbeeld "-1 UNION SELECT username,password FROM admins--", zodat het samen wordt:
"SELECT title,content FROM pages WHERE id=-1 UNION SELECT username,password FROM admins--".
Dit selecteert dan de pagina waar de id -1 is (nergens waarschijnlijk) en plakt daar achter de gebruikersnamen en de wachtwoorden van de tabel admins.
In sommige gevallen, wanneer stacked queries zijn toegestaan, kan je een commando beeindigen met een ";". Daarna begin je een nieuw commando. In dat geval zou je DROP TABLE kunnen gebruiken.