Esto dista mucho de ser una buena práctica, pero acabo de ver un fragmento de código que me pareció muy interesante, como mínimo. El código estaba ejecutando algo de SQL y no estaba usando declaraciones preparadas, por lo que está completamente abierto para la inyección de SQL.
Sin embargo, tenía un enfoque poco ortodoxo para esto. Es "seguro" porque todos los parámetros de entrada están limitados a 2 caracteres. Y esto me hizo pensar: ¿hay alguna forma en que un atacante pueda explotar esto? Por supuesto, cambiaré el código para usar declaraciones preparadas, pero aún así, estoy bastante curioso