Если вход ламера вставляется непосредственно в SQL-запрос, приложение становится уязвимым для SQL-инъекции, как в следующем примере:
dinossauro = request.GET['username']
sql = "SELECT * FROM user_contacts WHERE username = '%s';" % username
Чтобы удалить таблицы или что-нибудь еще - сделав запрос:
INSERT INTO table (column) VALUES('`**`value'); DROP TABLE table;--`**`')
Что можно сделать, чтобы предотвратить это?