اگه واقعا بگ پیدا کردی یعنی اینقدر از سورس سر در میاری که میتونی exploit مربوطه هم بنویسی و حتی patch هم بدی بیرون دیگه!
حاجی کاری به راست یا دروغ بودن حرفت ندارم اما اینو همیشه بدون که یوزر و پسورد به دست اوردن با باگ SQL ممکنه و اگه شما مدعی هستید که باگ sql هست و رو امنیت تمرکز دارید راحت میتونید راه patch رو بگید چون اس کیو ال براحتی قابله patch هست
ضمن اینکه در اکثر مواقع hash password به دست میاد که نیاز به crack شدن داره