Большинство, если не все, основные ORM используют параметризованный SQL, который защитит вас от прямой атаки SQL-инъекцией.Однако параметризованный SQL на уровне приложений не защитит вас от скрытых SQL-атак.Это происходит, когда что-то в конце строки, кроме ORM, напрямую объединяет пользовательский ввод в оператор SQL (например, хранимая процедура пакетного запуска, которая объединяет ввод пользователя для создания непараметризованного динамического запроса).Обратите внимание, что это вообще не проблема ORM, но я подумал, что хочу подчеркнуть, что параметризованный SQL защищает вас от инъекций, только если он используется везде, а не только в ORM.