Ochrana proti injekčním útokům není odpovědností databáze, je odpovědností vývojáře. Pokud vývojář napíše kód, který vytváří dotazy zřetězením řetězců odvozených z uživatelského vstupu, výsledné dotazy budou zranitelné vůči injekčním útokům a veškerý kód vynaložený na sanitaci atd. je IMHO ztrátou času. Pokud je kód napsán tak, aby používal parametrizované dotazy a vstup uživatele je odkázán na použití jako hodnoty parametrů, budou výsledné dotazy přiměřeně bezpečné před útoky injekcí. (A zajímalo by mě, jak by bylo možné provést útok injekcí pomocí hodnoty parametru).
Sdílejte a užívejte si.