Supponiamo di avere una query vulnerabile come questa:
var q = 'SELECT x FROM y WHERE id = ' + req.body.id + ' ORDER BY date DESC;';
Ai fini di questa domanda, req.body.id
potrebbe essere qualsiasi parametro intero che non sia controllato a caratteri poiché tutto su HTTP è una stringa.
Poiché l'estensione MySQL disabilita le query a più istruzioni per impostazione predefinita, non posso fare qualcosa del tipo:
http://example.net/foo?id=1;INSERT INTO y VALUES (things...);--
È possibile eseguire una istruzione di manipolazione dei dati (come INSERT, UPDATE, DELETE) con questa query vulnerabile?