Ochrona przed atakami typu „wstrzykiwanie” nie jest obowiązkiem bazy danych, ale obowiązkiem programisty. Jeśli programista napisze kod, który tworzy zapytania przez łączenie ciągów pochodzących z danych wejściowych użytkownika, wynikowe zapytania będą podatne na ataki wstrzykiwania, a cały kod poświęcony na oczyszczanie itp. jest IMHO stratą czasu. Jeśli kod jest napisany tak, aby używał sparametryzowanych zapytań, a dane wejściowe użytkownika są relegowane do użycia jako wartości parametrów, wynikowe zapytania będą w miarę bezpieczne przed atakami wstrzykiwania. (I chciałbym usłyszeć, jak można przeprowadzić atak wstrzykiwania za pomocą wartości parametru).
Dziel się i ciesz.
