Teknisk set er du ikke i fare, hvis du ikke forbereder data, der ikke kommer fra brugerinput. Det anbefales dog kraftigt at gøre det af et par grunde:
- Hvis du glemmer at forberede brugerinputdata et eller andet sted, er der en chance for, at denne bruger har injiceret noget forskelligt i en datarække, som du aldrig forventede at blive brugerinput.
- Det er en god praksis at gentage, hvad du gør for at holde din server sikker. Hvis du begynder at blande det sammen, er der meget større sandsynlighed for, at du glemmer at forberede data, hvor det faktisk er nødvendigt for at gøre det.
- Forberedelse af dine data er ikke kun for at forhindre SQL-injektion fra angribere. Det vil også forhindre nogle databaseproblemer, hvis du ved et uheld opretter en fejl i din kode. For eksempel:
Et eller andet sted i din kode har du et logsystem, der tilføjer en fejllog til din database. Strengen ville være:
Denne streng er genereret af dit script. Derfor forbereder du det ikke. Alligevel vil anførselstegnene i denne streng forårsage fejl med din database, som kunne have været forhindret, hvis du alligevel forberedte den.