In questo post sul blog c'è un codice di esempio utilizzando nHibernate's CreateSQLQuery che sarà vulnerabile all'iniezione SQL, nonché un modo appropriato di scrivere la stessa query utilizzando la query parametrizzata nel proprio framework ORM per evitare l'iniezione. Alla fine della giornata, indipendentemente da come si creano query SQL, utilizzando string concating o ORM per gestire input come oggetti e attributi, se si creano query dinamiche, il codice SQL iniettato può essere eseguito nel database. Ma se si parametrizza, si sta dicendo al database che una query "Select" o "Insert" viene fornita con questi due input, ad esempio, e anche se gli input contengono un codice SQL, il database non li esegue.