Это определенно является формой внедрения SQL, и вы правы, что беспокоитесь.
Однако одного этого недостаточно, чтобы определить, можете ли вы что-то делать, кроме как изменить параметры запроса внеожиданные пути.Например, запрос может быть изменен для извлечения данных из таблиц, не перечисленных в исходном запросе, что вполне может быть достаточно плохим.
Я настоятельно рекомендую избегать использования конкатенации строк при построении запросов SQL, но вместо этого использовать подготовленныйоператоры ", которые позволяют только заменить предоставленные заполнители на выбранные пользователем значения данных.Даже в этом случае приложению было бы целесообразно проверить значения, по крайней мере, на определенное здравомыслие, прежде чем передавать их в базу данных.