Me econtre
este sitio muy bueno que trata sobre diferentes estrategias para prevenir la inyección de código SQL en nuestras aplicaciones y me puse a pensar en varios ejemplos que he visto de desarrollos de mis colegas cordobeses en donde tal vez por comodidad practicamente se puede hacer de todo. He visto muchos casos donde por ejemplo en un soft de gestión, para buscar un producto por nombre le piden al usuario que escriba un "%" como comodín si no se sabe el nombre completo. En otros casos me encontré con una Forma que tenia un TMemoEdit para escribir supuestamente "comandos" definidos por el desarrollador del software quien coloco unos botones que al presionarlos simplemente escribian el código a ejecutar. De manera que tranquilamente podiamos ponernos a escribir cualquier comando SQL válido y su programa lo ejecutaba!!
Pero bueno, a todos en algún momento nos ha pasado.