The Audit Horror Picture Show

Un estimé collègue a trouvé ça lors de l’audit de l’application d’un client :

<form name="form1" method="post">
<input type="hidden" name="query" value="SELECT * FROM utilisateurs WHERE code_mouvement IN ('APH','IPH','NPH') ORDER BY id_utilisateur" />
<input type="submit" value="Utilisateurs" />
</form>

Fear.