• Se llama SQL Injection, se ha hablado muchas veces de esto en el foro, en realidad no te va a gustar leerlo, pero no es culpa de nadie mas que tuya.
• NPI
• Si...creo que después de desarrollar por un tiempo en algún momento todos nos hemos enfrentado a un ataque de SQL Injection máxime que existen los famosos SQL worms que son autómatas encargados de envíar esas inyecciones, y se valen del descuido de los desarrolladores al programar sentencias dinámicas para inyectar el contenido dinámico.

Hazte una búsqueda, vas a encontrar varias cosas al respecto, de lo que se trata es de controlar las sentencias dinámicas, ahora si esto no es posible dada la magnitud del sistema podrías crear dependiendo de las entradas de tu sistema, permisos especiales a usuarios de SQL, de tal manera que si no es necesario que se inserten datos desde el front, tu aplicación utilice un usuario SQL de solo lectura, hay varias cosas que se pueden hacer, pero todo depende del contexto.

Saludos