En el host, lso responsables son los administradores.
En la aplicación, suele ser conveniente que la capa de acceso a datos no use consultas, sino sólo acceda a la base por medio de stored procedures.
En el caso de usar consultas, sólo a travez de parametrizaciones, y nunca construir queries en forma dinámica.