SQL-Injection hat lediglich was mit dem Aufbau des
SQL zu tun und weniger wie und wo es gespeichert wird. Ein schlampig geschriebenes
SQL wird auch nicht dadurch sicherer dass man es als Ressource in der Exe speichert.
Das stimmt natürlich, aber ein
SQL-Statement als Klartext in einer Datei zu speichern, ist an Risiko kaum zu übertreffen. Fehlt eigentlich nur noch eine zweite Datei mit dem Connectstring inklusive Passwort.
Ich speichere
SQL-Statements vollständig parametrisiert auch als Ressource.