в запрос, например в WHERE секцию (ну или PREWHERE).
Теоретически пользователь может инъекцию как-то сделать или нарушить нормальную работу кх ?
Да, будет SQL injection, если не экранировать параметр - как и с любой другой СУБД.
Обсуждают сегодня