Для защиты от SQL-инъекций на уровне информационной системы без использования WAF/IPS/IDS применяются следующие методы:

Использование параметризованных запросов (prepared statements) — вместо динамического формирования SQL-запросов с конкатенацией строк, параметры передаются отдельно, что исключает возможность внедрения вредоносного кода.
Валидация и фильтрация входных данных — проверка типов, длины и формата данных, поступающих от пользователя, чтобы исключить подозрительные символы.
Использование ORM (Object-Relational Mapping) — большинство ORM автоматически формируют безопасные запросы, минимизируя риск инъекций.
Минимизация прав доступа к базе данных — приложение должно работать с базой под учетной записью с минимально необходимыми правами.
Логирование и мониторинг — отслеживание аномальной активности запросов для своевременного обнаружения попыток атак.

Пример параметризованного запроса на Python с использованием библиотеки psycopg2:

cursor.execute("SELECT * FROM users WHERE username = %s", (username,))

Здесь значение username не вставляется напрямую в строку запроса, а передается как параметр, что предотвращает SQL-инъекцию.

Как защититься от SQL-инъекций на уровне информационной системы без использования WAF/IPS/IDS?