He construido una API de PHP que consulta datos de algunas tablas en una base de datos SQL en línea. Las credenciales con las que se conecta a la base de datos se guardan en otro archivo y se cargan al inicio. El usuario con esas credenciales tiene privilegios SELECT solamente. La aplicación de Android simplemente se conecta al enlace y obtiene los datos, por lo que la API no tiene ninguna entrada. Las consultas se escriben previamente en el script PHP. Los datos en la base de datos son todos públicos, por lo que si se lee algo más que no está en el script, no es un problema.
¿Qué tan vulnerable es esta configuración a la inyección SQL? (u otras amenazas)