SQL injection về cơ bản là thêm mã bổ sung vào truy vấn. Bản thân cuộc tấn công xảy ra do máy chủ phân tích dữ liệu đầu vào dưới dạng mã SQL và thực thi nó tương ứng. Bạn không thể bảo vệ khỏi nó ở cấp SP, bởi vì khi quá trình thực thi đến với quy trình, cuộc tấn công đã thành công.
Vì vậy, miễn là bạn tạo các truy vấn của mình dưới dạng văn bản, việc chèn SQL là có thể thực hiện được bất kể văn bản của truy vấn là gì. Và nếu bạn không hoặc nếu bạn làm sạch đầu vào của mình đúng cách, thì một lần nữa, việc chèn SQL sẽ không thành vấn đề, cho dù đó là CHỌN hay thứ gì khác.
