сейчас на сайте универа подруги нашёл sql-инъекцию. для этого надо зайти как гость и отправить ложный запрос