La protezione dagli attacchi injection non è responsabilità del database, è responsabilità dello sviluppatore. Se lo sviluppatore scrive codice che crea query concatenando stringhe derivate dall'input dell'utente, le query risultanti saranno vulnerabili agli attacchi di injection e tutto il codice speso per la sanificazione, ecc., è una perdita di tempo IMHO. Se il codice viene scritto per utilizzare query parametrizzate e l'input dell'utente è relegato all'utilizzo come valori di parametro, le query risultanti saranno ragionevolmente al sicuro da attacchi injection. (E sarei interessato a sapere come potrebbe essere possibile eseguire un attacco injection tramite un valore di parametro).
Condividi e divertiti.
