Notei em algumas lojas online que a busca de produtos é feita pela URL usando GET e que essas informações são buscadas em uma base de dados.
exemplo:
www.lojagenerica.com.br/produtos/busca.php?page-size=10&price=DESC
notei que eu consigo alterar na URL o page-size para o valor que eu quiser e o site retorna a quantidade de itens exibidos na pagina.
queria saber se esse é um erro do desenvolvedor do sistema deixar essas informações abertas para o usuário, eu imagino que alguém mal intencionado pode até droppar esses dados usando SQL Injection. estou certo?