Описание тега sql-injection
SQL-инъекция - это метод инъекции кода, используемый для атаки приложений, управляемых данными, в которых вредоносные операторы SQL вставляются в поле ввода для выполнения (например, для передачи содержимого базы данных злоумышленнику)
SQL-инъекция - это тип уязвимости компьютерной безопасности, обнаруживаемый в приложениях с базами данных SQL, который позволяет злоумышленникам вводить вредоносные команды SQL в базу данных с помощью ввода пользователя и извлекать конфиденциальные данные.
Уязвимость присутствует, когда вводимые пользователем данные используются непосредственно в командах SQL, а не в качестве параметров или при правильной их фильтрации для escape-символов кавычек. Это происходит в первую очередь из-за плохо написанных функций обработки SQL в клиентских приложениях.
См. Известный пример - инцидент с Bobby Tables и ответ на вопрос сообщества вики Как я могу предотвратить SQL-инъекцию в PHP?
Полезные ссылки