Immaginiamo un sito Web che consenta agli utenti di registrarsi e accedere solo con il loro indirizzo email.
È possibile eseguire un'iniezione SQL del secondo ordine in quel caso?
È possibile eseguire un attacco di iniezione SQL in qualsiasi luogo in cui il sistema collochi i dati definiti dall'utente (in questo caso il nome utente) direttamente in una query SQL senza prima disinfettarla.
Quindi, la risposta alla tua domanda è sì, è possibile, a seconda del comportamento del sistema in questione.
Leggi altre domande sui tag sql-injection injection