Pude encontrar un artículo que menciona que la inyección de SQL se puede realizar en el código SQL en los siguientes escenarios en los que están involucrados procedimientos almacenados:
- sentencias EXEC
- Cursores dinámicos
Suponiendo que SQLi no es directamente posible (hemos preparado declaraciones y saneamiento de entrada en cualquier lugar donde se toma la información del usuario), pero un atacante puede obtener información en la base de datos y el código SQL procesa esta información (por ejemplo, mediante una consulta a una tabla que contiene el entrada del atacante), ¿hay otros tipos de código SQL de los que deberíamos preocuparnos?