В статье "SQL Injection and Oracle, Part One" подробно разбирается технология атак через подстановку данных в SQL запрос. Например, если отсутствует проверка на символ "'" в форме обработки входящих данных, злоумышленник может скомпоновать вложенный SQL запрос и получить практически полный доступ к SQL серверу.