Да, но сервер-то их не проверяет. До тебя никак не дойдет, "разработчик ПО"? :D

... Для тебя существует только рутовый доступ к БД? Разграничение прав доступа, не, не слышал?

А ты уверен, что доступ к базе был? Перечитай мой комментарий выше ещё раз.
Да и если есть доступ к базе, это не значит, что данные из неё можно изменять (легальным путем, т. е. без постороннего вмешательства, что и демонстрирует данный пост).

При чем тут память сервера? Они отправили запрос с заведомо ложными данными, а сервер, в свою очередь, их не проверил (в данном случае - стоимость этой модели).

2 dylfin: Простая, в данном случае - перед проведением оплаты, проверка цены. Да и не должны такие проверки вестись на клиенте, а, как я уже выше говорил, проверять должен сервер.

Такое может быть у любого, кто не верно спроектирует фильтрацию данных или вообще забьет на неё