A verdadeira questão é can that code be used for SQL Injection?
e a resposta é absolutamente sim. Os dias de vândalos que formariam o seu disco apenas para espalhar o caos já se foram, hoje em dia os ataques são montados por indivíduos interessados em ganhos financeiros, eles geralmente usam o vetor de injeção SQL para adicionar seu host ao botnet, às vezes para roubar informações você pode ter, às vezes, para tirar seus reféns de dados e pedir resgate (criptografar e pedir compensação por descriptografia). Então, é improvável que eles emitam um format c:
.
Pode o xp_cmdshell
ser usado para emitir um comando como format c:
? Não por padrão, desde que o SQL 2005 o mecanismo desativa xp_cmdshell
por padrão e um administrador tem para explicitamente ativá-lo de volta. Mas se estiver ativado, ele pode ser usado? Sim. O sistema operacional formatará a unidade c: Improvável. Nenhum SO hoje aceita um formato do volume do sistema.
Mas, afinal, o ponto é que o seu código não deve permitir a injeção de SQL .