asahi.com：データベースを攻撃、外部から支配　カカクコムＨＰ事件?-?社会

使われた方法はSQLインジェクション……基本だ。
SQL文字列を入力そのままに流しているなんて外部に公開するものとしてはあり得ない仕様だ。普通は、プリペアドステートメントとかストアードプロシージャーにして外部から与えたれた引数をそのまま実行されないようにするのが普通だ。