Bescherming tegen injectieaanvallen is niet de verantwoordelijkheid van de database, het is de verantwoordelijkheid van de ontwikkelaar. Als de ontwikkelaar code schrijft die query's maakt door strings die zijn afgeleid van gebruikersinvoer aan elkaar te koppelen, zijn de resulterende query's kwetsbaar voor injectieaanvallen, en alle code die wordt besteed aan opschoning, enz., Is IMHO tijdverspilling. Als de code is geschreven om query's met parameters te gebruiken en gebruikersinvoer wordt gedegradeerd om als parameterwaarden te worden gebruikt, zijn de resulterende query's redelijk veilig voor injectieaanvallen. (En ik zou graag willen horen hoe het mogelijk is om een injectieaanval uit te voeren via een parameterwaarde).
Deel en geniet.