Cita: Ahora bien, tampoco el uso de procedimientos almacenados indica que no se pueda hacer sql injection (recuerda que tambien en los sp se puede generar "sql al vuelo")...
Cierto, gracias por clarificarlo.
Cita: Disculpas... que es mas fácil, lograr hacer sql injection a una aplicación que cree las sentencias sql en su codigo o a una aplicación que llame a un store procedure
Casi cualquier sentencia SQL de aplicación sera generada al vuelo (a menos que sea estática). Mientras que para que un SP sea vulnerable al injection necesitas usar SQL dinámico dentro del propio SP (mucho más difícil de encontrar, aunque yo mismo tengo un par de ellos)