S tím se dá souhlasit. Ne každá chyba v aplikaci je zneužitelná a od toho jsou penetrační testy, aby se ukázalo, jestli ty chyby zneužít jdou nebo nejdou.
SQL injection je typ útoku, kterému se dá bránit buďto pečlivým vytvářením aplikace, nebo zvolit takovou architekturu, u které SQL injection nemá smysl.No, v principu mate pravdu, ale je třeba mít na paměti, že dnes už každá databáze má prostředky pro čtení souborů na disku, případně i pro spouštění kódu. SQL injection nemusí být jen o tom, že něco uložím nebo vyčtu z databáze.
A není radno zapomínat, že injection útoky platí i na další používané technologie - ldap, xpath, ...