Stránky RIAA napadeny - princip ?

SQL injection - dotaz v sql se posila občas s promenou, ziskanou od uziatele/ciziho zdroje, je nutne mit osetreno, aby uzitel nebyl schopen vhodnou volbou hodnoty - treba nicku, do dotazu zasahnout. - typicky ukoncit/zacit zas dotazu pomoci uvozovek/aposrofu a napsat tam svou myslenku (or 1=1 -> bude platit vzdy)

Díky za info,
pokud jsem to pochopil správně tak by to mělo fungovat asi takto (s php nemám zkušenosti) ?

Třeba proměná nick normálně vypadá takto nick="Machy" a místo jména tam vloží nějaký příkaz např. nick=delete_all. Server to nezpracuje jako text, ale jako příkaz.

ano tak nejak. Ve skutecnosti to vypada nejak takto:
"vyber z tabulky kde nick=$_ziskanaHodnota"; s tim ze ziskana hodnota muze byt klidne: _lucinka OR 1=1 tedy:
"vyber z tabulky kde nick=lucinka OR 1=1"; tedy vyber z tabulky, vsechno od lucinky nebo kde plati 1=1 a to prosim plati vsude.

Porad hodne zjednoduseno, jeste je tam vic stredniku a apostrofu, ale to uz neni tak podstane, princip je stejny.

Dolezite je na konci -- inac to nevytvori platny prikaz.
Podla mna ale neurobili tak skolacku chybu aby tam slo SQLinject (to by ten web musel robit asi uplny blb :), skor si myslim ze bolo pouzite XSS.
P.S. aj ked teda ked uvazujem nad tym "blb", bola to stranka RIAA, takze mozna je aj ta verzia s blbom