Ho creato un'API PHP che interroga i dati di alcune tabelle in un database SQL online. Le credenziali con cui si connette al database vengono salvate in un altro file e caricate all'avvio. L'utente con quelle credenziali ha solo SELECTilegiledge. L'app Android si collega al collegamento e ottiene i dati, quindi l'API non ha alcun input. Le query sono pre-scritte nello script PHP. I dati nel database sono tutti pubblici, quindi se viene letto qualcosa che non è contenuto nello script non è un problema.
Quanto è vulnerabile questa configurazione a SQL Injection? (o altre minacce)