Názor k článku Zranitelnosti typu injekce: SQL injekce od Pavel Stěhule - Tady bych úplně nesouhlasil - pohybuji se ale...

Tady bych úplně nesouhlasil - pohybuji se ale v jiném prostředí než Vy. Je jasné, že PS jsou bezpečné 100% z principu. Nicméně pokud použiji pro escapování speciální funkce většinou dodávané v driveru, tak by to mělo být 100% bezpečné. Bez escape se u SQL identifikátorů neobejdete - tam vám PS nepomohou - a chca nechca musíte důvěřovat knihovnám. PostgreSQL funkce - https://www.postgresql.org/docs/9.5/static/libpq-exec.html#LIBPQ-EXEC-ESCAPE-STRING bych se asi nebál použít.

PS mají zase jiné nevýhody - které dokáží překvapit i dlouholeté uživatele.

SQL injection není problém, pokud programátor ošetří všechny parametry. Jde o tu důslednost, které musí předcházet pochopení problému - ale je to jednoduchý útok, a i obrana je jednoduchá.