Sono stato in grado di trovare un articolo indica che l'iniezione SQL può essere eseguita su codice SQL nei seguenti scenari in cui sono coinvolte le stored procedure:
- istruzioni EXEC
- Cursori dinamici
Supponendo che SQLi non sia direttamente possibile (abbiamo preparato dichiarazioni e input di risanamento ovunque venga preso l'input dell'utente) ma un utente malintenzionato può ottenere informazioni nel database e il codice SQL elabora queste informazioni (ad esempio, tramite una query a una tabella contenente il input di attacker), ci sono altri tipi di codice SQL di cui dovremmo preoccuparci?