Исходное сообщение
"Критическая уязвимость в системе управления web-контентом Dr..." Отправлено Аноним, 16-Окт-14 09:39
>[оверквотинг удален] >   with parameters :name_test = user2. >   Since Drupal uses PDO, multi-queries are allowed. So this SQL > Injection can >       be used to insert arbitrary data > in the database, dump or modify existing data >       or drop the whole database. >   With the possibility to INSERT arbitrary data into the database > an >   attacker can execute any PHP code through Drupal features with > callbacks. А то что при prepare запроса, "prepared" запрос на сервере не меняется php-никам невдомёк конечно, они настолько привыкли к "расширениям" добавляемым всякими ORM и тому подобным...