Zerosquare (./15979) :
Le problème à l'origine des injections SQL c'est pas que ce soit facile de récupérer des données, c'est que le SQL utilise par défaut de l'in-band signaling (pas de séparation entre les commandes et les paramètres, les deux sont mélangés au sein d'une même chaîne). Avec des requêtes paramétrées ce risque n'existe pas.

Mais ça fait quand même longtemps que dans la plupart des langages il existe des drivers SQL permettant de faire des requêtes paramétrées (et donc échappées correctement).