Hola a todos. Me surge una duda sobre la seguridad de una aplicación web. He hecho una aplicación a la cual le he pasado un escaner de vulnerabilidades.
El problema es que me detecta varios errores críticos, entre ellos varias variables que si se ponen determinados parámetros pueden provocar fallos de seguridad.
Estas variables se recogen de esta manera:

<select name="var"><option value="1">1</option>...</select>


¿se pueden modificar la variable "var" para, en vez de tener el valor"1", tenga el valor "update tabla where...", introducido por el atacante?

Muchas gracias por todo.