不適切な脆弱性サンプル

ブックマークの方にも書いたけど、SQLインジェクションのサンプルなのに、SQLインジェクションがなくても、とても脆弱です。

脆弱性を利用した攻撃手法(4) --- SQLインジェクション | 日経 xTECH(クロステック)

ユーザIDとパスワードを入力すると、指定ユーザのパスワードを変更するというプログラムが例として取り上げられています。
ユーザIDの欄に、「yamada' OR user_id ='sato」を入力するとSQLインジェクションが発生するというのですが・・・
そもそも、ユーザIDにyamada、satoを2回に分けて実行しても、パスワードは変更できる。
つまり、指定ユーザに対するパスワード変更ができるかどうかという権限チェックがされていない・・・されていたら、SQLインジェクションのサンプルも動かないはず。

というわけで、SQLインジェクションのサンプルとしては、もう少し考えてもらいたいです。