Mis comentarios

"Todas las tablas tienen de owner a "dbo"

R= Esto deberia ser SIEMPRE ASI, aunque hay gentes que le ponen su propio usuario.

DBO, es un ROL, por lo tanto que tenga los atributos de public y db_owner, ES 100% CORRECTO.

El usuario que utiliza para conectarse, ¿Que atributos, roles o permisos tiene?

En cuanto a la INYECCION DE CODIGO, debe resolverse en la capa front (aplicativos)