ovviamente no, sarebbe troppo facile..
sfruttano degli "errori" del codice che si verificano in determinate circostanze molto particolari, ad esempio che so?
se ci sta la estensione tale combinata con la tale altra nelle versioni xx.yy, richiamando la pagina della modifica utente e azzeccando l'ID dell'utente superadmin nei server con tale settaggio della lamp può accadere che diventi possibile una operazione di sql injection
questo in linea generale, poi ci sono le vie classiche, ad esempio sono decine di anni che si vocifera in giro che i contatori esterni sono porte aperte a qualsiasi cosa ma si continuano ad utilizzare lo stesso come se niente fosse..
