Даже если приложение передает введенное пользователем значение имени в хранимую процедуру безопасным способом, сама процедура объединяет это непосредственно в динамический запрос и поэтому уязвима.
да, почему все еще так много успешных SQL-инъекций? Просто потому, что некоторые разработчики слишком тупы, чтобы использовать параметризованные операторы?