SQL-Injection basiert darauf, den Code des SQL-Statements so abzuwandeln, dass weitere SQL-Statements entstehen

Ich ergänze den Satz mal für mich zur Präzisierung mit "... bevor der SQL-Interpreter das Statement zu sehen bekommt."

Richtig so? Wenn ja, dann leuchtet mir dein zweiter Satz ein.

Danke