V prípade, že sa na stránke nezobrazuje výsledok SQL dopytu, tak jedna možnosť, ako zistiť, či sa SQL kód vykonal alebo nie, je na základe času trvania SQL dopytu. Vďaka tomu vieš na ľubovoľný SQL dopyt dostať odpoveď typu áno/nie.

Takže ak vieš injectnúť SQL, tak tam môžeš dať nejakú podmienku, na základe ktorej bude vykonávanie trvať buď 10 sekúnd alebo len 1 sekundu. Podľa času nahrávania stránky budeš potom vedieť určiť, ktorá vetva sa vykonala.

Web proti tomu zabezpečíš tak ako proti každej SQL injection - budeš ošetrovať vstupy (napr. parametrizáciou SQL dopytov alebo escapovaním hodnôt).