Dans la précédente partie, nous avons vu un certain type d'injection SQL : celui où les données sont directement affichées. Cependant ce n'est pas toujours le cas. Alors comment peut-on récupérer des données si nous ne pouvons les voir ?
Cela parait impossible, et pourtant c'est tout à fait faisable ! 
Ces méthodes sont généralement connues sous le nom de « Blind SQL Injection » ou « Total Blind SQL Injection ».