Una y otra vez, los piratas informáticos utilizan la inyección de SQL para obtener información de la base de datos back-end. Es justo decirlo porque una base de datos relacional por su naturaleza tiene todos los enlaces dentro de los conjuntos de datos (por ejemplo, 1 a 1, 1 a * y así sucesivamente), por lo tanto, permite a un usuario con cualquier forma de acceso a ¿Accede ilegalmente a todo, ya sea en la teoría o en la práctica?
El hecho de que los datos estén relacionados o no dentro de la base de datos no tiene nada que ver con SQLi. Los archivos planos, NoSQL, etc. no afectarán la capacidad de un usuario para realizar un acceso no autorizado a los datos.
SQLi se trata de un acceso directo no seguro a la base de datos (en cualquier forma que sea), lo que resulta en un usuario que manipula ese acceso para obtener datos sin la autorización esperada.
Lea otras preguntas en las etiquetas sql-injection databases