Tengo dificultades para entender cómo esta sección deeste sitio web en Rails SQL Injections trabajos.

Aprovechar la inyección SQL en las cláusulas ORDER BY es complicado, pero una declaración CASE se puede usar para probar otros campos, cambiando la columna de clasificación por verdadero o falso. Si bien puede tomar muchas consultas, un atacante puede determinar el valor del campo.

Alguien puede explicar? El bit donde dicen "cambiar la columna de clasificación por verdadero o falso" es el que es difícil de entender porque no entiendo cómo eso permitiría a un atacante revelar el valor de otro campo.