Technicky nejste ohroženi, pokud nepřipravíte data, která nepocházejí z uživatelského vstupu. Důrazně se však doporučuje tak učinit z několika důvodů:
- Pokud někde zapomenete připravit nějaká uživatelská vstupní data, je možné, že tento uživatel vložil do datového řádku něco různého, o čem jste neočekávali, že se někdy stane uživatelským vstupem.
- Je dobrým zvykem opakovat to, co děláte, aby byl váš server zabezpečen. Pokud to začnete míchat, je mnohem pravděpodobnější, že zapomenete připravit data tam, kde je to skutečně potřeba.
- Příprava dat není jen proto, abyste zabránili vkládání SQL útočníkům. Také to zabrání některým problémům s databází v případě, že omylem vytvoříte chybu ve svém kódu. Například:
Někde ve svém kódu máte systém protokolů, který do vaší databáze přidává protokol chyb. Řetězec by byl:
Tento řetězec je generován vaším skriptem. Proto si to nepřipravte. Přesto uvozovky uvnitř tohoto řetězce způsobí chyby ve vaší databázi, kterým by se dalo předejít, pokud byste ji přesto připravili.