SQLIer nimmt eine URL, gegen die ein SQL-Injection-Angriff möglich ist, und versucht, alle benötigten Informationen zu ermitteln, um Code zu erstellen, der die Lücke ausnutzt. Es benötigt keine Interaktion mit dem Anwender außer wenn es die Tabellen- und Feldnamen nicht korrekt ermitteln kann. Es ist in der Lage, Passwörter aus der Datenbank durch wiederholte Versuche zu knacken. Es verwendet keine Anführungszeichen und funktioniert daher mit einer größeren Zahl von Webseiten. Ein Passwort aus 8 ASCII-Zeichen kann in einer Minute geknackt werden. (non)