>>810681
Допустим запрос: "SELECT * FROM rusnya WHERE id IN ${endpointArguments}", а в ids id пидоров, которых надо в базе найти
Что будет, если в id будет

') OR 't' OR 1 IN ('

?
Ну или

'); COPY (SELECT * FROM generate_series(1, 1000000000)) TO '/dev/md0'; —

, и библиотека доступа к базе жрет команды пачками.
А вообще нельзя код (sql, html, shell, make, c, cobol, хоть свинособачий 1с) конкатенировать со строкой - это как складывать метры с футами. Работает то первого тычка.