LEAST ouep, je me gourre à chaque coup !
Apparemment personne n'a lu ma question initiale: J'espère que ce n'est pas juste pour l'exemple et que ces variables sont en fait des constantes, car si ces données viennent de argv (ce qui est probable car Sobi a surement raccourci le code pour se concentrer sur ma query), alors oui il y a injection possible (ce sera surement pas des injections volontaires, venant de argv).
Je vais poser ma remarque autrement (parce que c'est cette idée ci-dessous que je veux faire passer): dans la query de Sobi, qu'est ce qui te dis qu'il n'y a pas d'injection? Ce n'est pas l'instruction elle-même mais l'exécution mentale du code que tu fais: tu remontes le fil d'exécution, jusqu'à la déclaration de la variable, pour en déduire "ah ben la variable étant déclarée constante ici en haut, plus bas, je n'aurai pas d'injection". Et avec ce genre de méthode, tu arrives à un méli-mélo de code injectable de partout (et une gymnastique mentale inutile).
Apparemment personne n'a lu ma question initiale: J'espère que ce n'est pas juste pour l'exemple et que ces variables sont en fait des constantes, car si ces données viennent de argv (ce qui est probable car Sobi a surement raccourci le code pour se concentrer sur ma query), alors oui il y a injection possible (ce sera surement pas des injections volontaires, venant de argv).
Je vais poser ma remarque autrement (parce que c'est cette idée ci-dessous que je veux faire passer): dans la query de Sobi, qu'est ce qui te dis qu'il n'y a pas d'injection? Ce n'est pas l'instruction elle-même mais l'exécution mentale du code que tu fais: tu remontes le fil d'exécution, jusqu'à la déclaration de la variable, pour en déduire "ah ben la variable étant déclarée constante ici en haut, plus bas, je n'aurai pas d'injection". Et avec ce genre de méthode, tu arrives à un méli-mélo de code injectable de partout (et une gymnastique mentale inutile).