Se houver um ataque de injeção de SQL bem-sucedido, o invasor não poderia simplesmente repeti-lo e executar várias instruções dessa maneira também?

O Oracle suporta blocos PL/SQL anônimos que podem conter várias instruções.

"começar a executar imediatamente 'descartar clientes de tabela'; executar imediatamente 'descartar vendas de mesa'; fim"

A Oracle fornece um tutorial gratuito sobre como evitar ataques de injeção de SQL aqui:http://st -curriculum.oracle.com/tutorial/SQLInjection/index.htm