Der xkcd-Comic Exploits of a mom zu SQL-Injection-Angriffen ist legendär: Ein empörter Schulmitarbeiter beschwert sich am Telefon bei einer Mutter. Der Name ihres Sohnes " Robert'); DROP TABLE Students;--?" habe die Datenbankeinträge des Schulcomputers gelöscht. (Sie erklärt scheinheilig dabei, dass sie ihn den kleinen Bobby Tables nennen.)

Wer glaubt, das sei an den Haaren herbeigezogen, lese die Beschreibung zu einer SQL-Injection-Lücke in GLPI. Die fand der Autor nachdem die Bearbeitung einer Benachrichtigung des Dienste HaveIbeenPwned über ein kompromittiertes Passwort alle Tickets im System gelöscht hatte. Die Mail enthielt die Zeichenkette

(';-- "

und landete automatisch im Support-System. Bei der Bearbeitung des Tickets nahm das Unheil dann seinen Lauf ...

(ju)