注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。

SQL注入，一般指web应用程序对用户输入数据的合法性没有校验或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。 总的来说就是，攻击者通过系统正常的输入数据的功能，输入恶意数据，而系统又未作任何的校验，直接信任了用户输入，使得恶意输入改变原本的SQL逻辑或者执行了额外的SQL脚本达，从而造成了SQL注入攻击。

LDAP(Lightweight Directory Access Protocol)是轻量级目录访问协议。以信息目录的形式存在，在该目录中可只定义一次用户和组，而在多台机器和多个应用程序间共享它们。LDAP与数据库最大区别在于，数据库以“表格-字段-值”的形是来存储数据，而LDAP以树状形方式访问存储在LDAP目录中的信息。

OS命令注入攻击(OS Command Injection)是指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。

可以从Web应用中通过Shell来调用操作系统命令。倘若调用Shell时存在漏洞,就可以 执行插入的非法OS命令。

OS命令注入攻击可以向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过OS注入攻击可执行OS上安装者的各种程序。

ORM 注入是 Object Relational Mapping 的缩写，翻译过来就是对象关系映射。ORM 是写程序时的一种写法，以前写程序查数据库的时候都是代码加 sql 语句写到一起，程序庞大后就很难管理，很难维护。后来就把程序和 sql 语句分开了。同时 ORM 把 sql 的写法进行了封装，程序调用更为方便，能让程序员真正的去关注逻辑层代码，去面向对象编程。

OGNL是Object-Graph Navigation Language的缩写，它是一种功能强大的表达式语言（Expression Language，简称为EL），通过它简单一致的表达式语法，可以存取对象的任意属性，调用对象的方法，遍历整个对象的结构图，实现字段类型转化等功能。它使用相同的表达式去存取对象的属性。