Los hackers solían aprovechar la vulnerabilidad de no escapar las comillas de modo que al utilizar comillas en alguno de los campos de la consulta se alteraba la sintaxis de la misma y de ese modo manipular a tu antojo la consulta a la BD.

Por ejemplo

entre comillas va el STRING de la consulta "", si se coloca una comilla simple en una variable que va entre comillas simples, el compilador interpreta la primera comilla simple como final de la variable y el código restante como parte de la consulta.

Con solo introducir esto ' OR '. se puede corromper el código. La primera comilla simple de la porción de texto hace string con la primera del código y la última con la última del código. Lo del medio sería interpretado como código de consulta.


WHERE id=' ' OR '. '
NATIVO | HACK | NATIVO