Какой тебе пример? Там нет инъекции. Кстати, вот ещё что могу сказать, читал у одного разраба, дескать сейчас уже так не делают сайты, как раньше, и переменные данные берутся не только из параметров. Эта сфера индустрии сейчас настолько усложнилась, что фильтровать все данные как параметры нереально. Объясню проще. Петя пишет: ha. Вася пишет: r( Маша пишет 77 Рита улыбается. Потом при каком то супер выборочном поиске, воссоединяется все в некий результат, и отправляется на выборку данных по этому признаку.... Where custom = char(77). Нихрена себе, откуда буква M???))) Ну, это весьма маловероятно, скорее всего выскочит ошибка синтаксиса. Программист снимет костыль, чтобы её убрать потому что сформировалась она динамически. Т.е. В современных приложениях тенденция может идти к тому, что данные комбинируются динамически, и параметры в частности. Т.е.принимая параметр от пользователя сегодня мы не знаем, как он будет использован завтра