Hola,
hace poco mi empresa paso una auditoria de seguridad, y nos dieron el toque por la posibilidad de SQL injection, la web q hay en el servidor es puramente informativa, donde hay varias querys para mostrar unos articulos segun el usuario haya escogido.
Hay una web solamente interna, no de uso publico, para el mantenimineto de articulos. donde ya pide un usuario y una contraseña, pero ese usuario y esa contraseña no se guardan en ninguna base de datos, sino q en el mismo codigo ya controla quien entra, y como he dicho no es d dominio publico sino q es solamente de uso interno.

Puede un usuario malintencionado hacer algo en mi pagina web?
cambiarme los articulos por ejemplo?
a titulo de seguridad, como afecta esto?
Como podria evitar el SQL Injection q me ha dicho la auditoria esta?

Saludos y gracias de antemano!