Sebbene ciò non sia terribilmente comune, so che SQL Injection è ancora possibile con una query parametrizzata, se si sta chiamando una stored procedure che utilizza un parametro per costruire ed eseguire SQL dinamico.
Sono curioso di sapere se esistono altri scenari di casi limite in cui SQL Injection è ancora possibile anche se si utilizzano query parametrizzate? SQL dinamico è l'unico problema?