La protección contra los ataques de inyección no es responsabilidad de la base de datos, es responsabilidad del desarrollador. Si el desarrollador escribe código que crea consultas mediante la concatenación de cadenas derivadas de la entrada del usuario, las consultas resultantes serán vulnerables a ataques de inyección, y todo el código gastado en desinfección, etc., en mi humilde opinión, es una pérdida de tiempo. Si el código se escribe para usar consultas parametrizadas y la entrada del usuario se relega a usarse como valores de parámetros, las consultas resultantes estarán razonablemente a salvo de ataques de inyección. (Y me interesaría saber cómo sería posible realizar un ataque de inyección a través de un valor de parámetro).
Comparte y disfruta.
