Пользователь
Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль
Полагаю, описываемый автором метод API извлекает параметры по их имени из тела запроса или query string в зависимости от HTTP-метода и/или фактического наличия этих параметров в том или ином месте. И фронт приложения, соответственно, может использовать различные способы вызова этого метода в разных местах (где-то GET, где-то POST), просто такие детали автор решил не приводить.
Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль
Вектор может обнаружиться в любом месте, где неочищенные данные извне используются уязвимым кодом и напрямую подставляются в SQL-запрос. Например куки, HTTP-заголовки, параметры в query string или в теле запроса — всё это потенциальные точки для инъекции.