Se può essere evitato lo evito sempre. È solo un'altra superficie di attacco che dovrebbe essere lasciata chiusa a meno che non ci sia un bisogno legittimo per consentire il passaggio dei dati nella stringa della query.
C'è sempre anche la possibilità che tu o un futuro sviluppatore non filtriate / disinfettiate correttamente i dati, e aprite la superficie di attacco ancora più ampia. Anche in un'app non protetta, se accetti involontariamente un'iniezione, un malintenzionato e inserisci lo script XSS e XSRF nel tuo DB e utilizzi la tua app non sensibile per attaccare gli altri, quindi è meglio giocare sul sicuro.
La spallatura è un'altra preoccupazione legittima, a seconda dell'ambiente. Se la tua app verrà utilizzata in un luogo dove è possibile (una biblioteca, un cubicolo in cui qualcuno può guardare, e in ufficio con una scrivania rivolta nella direzione sbagliata, ecc.) È una potenziale preoccupazione. Se le persone che utilizzano la tua app sono tutte in stanze in cui la scrivania è puntata in modo che la navigazione a spalla non sia un problema, non preoccuparti. ma se non lo sai per certo, e non sai che sarà sempre essere così, è una preoccupazione.