Защитата срещу атаки с инжектиране не е отговорност на базата данни, това е отговорност на разработчика. Ако разработчикът напише код, който създава заявки чрез обединяване на низове, получени от въвеждането на потребителя, получените заявки ще бъдат уязвими за атаки с инжектиране, а целият код, изразходван за дезинфекция и т.н., е IMHO загуба на време. Ако кодът е написан за използване на параметризирани заявки и въвеждането на потребителя е изведено до използване като стойности на параметри, получените заявки ще бъдат разумно безопасни от атаки с инжектиране. (И ще ми е интересно да чуя как е възможно да се направи инжекционна атака чрез стойност на параметър).
Споделете и се насладете.