Абсолютно согласен. Какая бы защищенная система ни была, всегда остается человеческий фактор. И со стороны пользователей, и со стороны дивелоперов. Поэтому при желании проникнуть сканировать порты и снифферить траффик вовсе не обязательно.

Приятель развертывал пилот банковской системы. Вот рабочее место операционистки. Очень красивая блондинка, судя по фотографии. Кстати на обратной стороне надпись типа Кате от воздыхателя. Тачка залочена, но логин присутствует. Пробуем пароль katya. Не катит. Katia. Тоже мимо. Ах да, приятель говорил про минимальную длину. Тогда Ekaterina. Смотри-ка, попали. Зашуршал логин скрипт, открылась страничка с рабочим местом Кати. Сейчас спишем с приятеля весь остаток, а счет переименуем в "Сидоров - козел".
Черт, форма-то under construction. Сейчас она умеет только выдавать информацию по клиенту. Этого очень мало - чукча не читатель, чукча писать в таблицу хочет. Ну не беда. Я ж неспроста к этому компу шел, тут и колонки ушастые, и музыка на столе валяется. Значит, CD-привод есть и включен. Поставим Кате вместо музыки QA.
Ну-с, что тут у нас в базе? Вот похожая табличка Saldo - update ее, update. Хрен по всей морде. Нет у Кати прав на прямой update. Значит, через процедуру. Найти бы нужную. select * from sysobjects where xtype = 'p', благо роли public для этого достаточно. Что, например, вот эта у него делает: select text from syscomments where id = ...,
А, это как раз та хрень, которая используется в единственной работающей форме:
create proc dbo.sp_CustInfo @Customer varchar(255) as
declare @FieldList varchar(255)
set @FieldList = ...
exec ('select ' + @FieldList + ' from Saldo where ... and Customer = ''' + @Customer + '''').
Ну-ка а другая? create proc sp_TransferMoney... Точно она. Тогда лови: exec sp_transfermoney @debet = ..., @credit = ..., @sum = ...
Как на фиг? Блин, осел. Тут везде dynamic SQL. Он же выполняется не от контекста процедуры, а от имени пользователя, который ее вызвал. Тогда почему Катя не может модифицировать таблицу напрямую? Как-то же она проводки в нее должна делать? Что-то здесь не так. Да ты, старая скотина, никак своих юзеров из-под прикладных ролей гоняешь? select name, password from sysusers where isapprole = 1. Угадал, но легче не стало: Операционист 0x0100FA25B756C0018E56B657FCC88154A010CE8764DAD38944AAB4DAD7976C98127B5D8B683870E255485BC4AE32. Расхэшировать сейчас нереально. Подобрать - тем более, потому что, к сожалению, он придуман не Катей.
Все условия даны. Задача 1 (простая): проапдейтить таблицу saldo, пока приятель в серверной допивает пиво.

Пример, конечно, придуманный, хоть и основан на реальных событиях. Я называю победителем jimmers, поск. ставил целью продемонстрировать sql injection. Все остальное - декорации.