To je řešení dostatečné pouze v případě, že žádný z uživatelů nemá právo žádného zápisu. Jakmile může cokoliv zapisovat, pak je kontrola dat nutností. Zvláště, jde-li o architekturu s tenkým klientem ve formě webového prohlížeče. Není přece problém vsunout do textového řetězce skript nebo odkaz kamkoliv. Pak se provede při čtení na straně uživatele a váš server tomu nezabrání.
Osobně nevím, proč by měl mít uživatel právo posílat jakýkoliv SQL příkaz a dokonce proč by měl mít nějaké právo přístupu do databáze. Databázový server je služba aplikaci, nikoliv uživateli. SQL slouží ke komunikaci mezi aplikací a databází, nikoliv mezi uživatelem a databází. Uživatel nechť má přístup do aplikace a vše se pak musí dít pod její kontrolou.(Pochopitelně běží na serveru). Netvrdím, že je to jediný možný či vhodný model - ale mě se páčí nejvíce.
Názor k článku
Na podceňovanou hrozbu SQL injection doplácí i řada českých webů
