Questo è lontano dalle migliori pratiche, ma ho appena visto un pezzo di codice che ho trovato molto interessante per non dire altro. Il codice stava eseguendo alcuni SQL e non stava usando le istruzioni preparate, quindi è completamente aperto per l'iniezione SQL.
Tuttavia, ha avuto un approccio non ortodosso a questo. È "sicuro" perché tutti i parametri di input sono limitati a 2 caratteri. E questo mi ha fatto pensare: c'è un modo in cui un aggressore può sfruttarlo? Ovviamente cambierò il codice per usare le istruzioni preparate, ma comunque, sono piuttosto curioso