Атака через внедрение вредоносного SQL-кода, или SQL-инъекция, происходит, когда пользовательский ввод напрямую вставляется в SQL-запрос без должной обработки. Например, если в Python-приложении есть код:

user_id = input("Введите ID пользователя: ")
cursor.execute(f"SELECT * FROM users WHERE id = {user_id}")

Если злоумышленник введёт 1; DROP TABLE users;, то запрос выполнит удаление таблицы. Чтобы избежать этого, нужно использовать параметризованные запросы:

user_id = input("Введите ID пользователя: ")
cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,))

Это гарантирует, что ввод будет обработан как данные, а не как часть SQL-кода.

Могли бы вы привести пример атаки через внедрение вредоносного SQL-кода в приложение?