Se prémunir contre les attaques par injection n'est pas la responsabilité de la base de données, c'est la responsabilité du développeur. Si le développeur écrit du code qui crée des requêtes en concaténant des chaînes dérivées de l'entrée de l'utilisateur, les requêtes résultantes seront vulnérables aux attaques par injection, et tout le code consacré à la désinfection, etc., est à mon humble avis une perte de temps. Si le code est écrit pour utiliser des requêtes paramétrées et que l'entrée de l'utilisateur est reléguée à être utilisée comme valeurs de paramètre, les requêtes résultantes seront raisonnablement à l'abri des attaques par injection. (Et je serais intéressé de savoir comment il serait possible de faire une attaque par injection via une valeur de paramètre).
Partagez et profitez.