A proteção contra ataques de injeção não é responsabilidade do banco de dados, é responsabilidade do desenvolvedor. Se o desenvolvedor escreve código que cria consultas concatenando strings derivadas da entrada do usuário, as consultas resultantes serão vulneráveis a ataques de injeção, e todo o código gasto em sanitização, etc., é IMHO uma perda de tempo. Se o código for escrito para usar consultas parametrizadas e a entrada do usuário for relegada a ser usada como valores de parâmetro, as consultas resultantes estarão razoavelmente seguras contra ataques de injeção. (E eu estaria interessado em saber como é possível fazer um ataque de injeção por meio de um valor de parâmetro).
Compartilhe e curta.