Et moi qui pensais que le SQL était un standard, et qu'il n'y avait par conséquent besoin de couche d'abstraction par-dessus

Sinon, pour les injections SQL, du moment que tu n'utilises que des requêtes paramétrées t'es tranquille, non ?