Wenn wir Programmierern die Möglichkeit geben, sich (bzw. den Anwendern ihrer Produkte) in den Fuß zu schießen, was werden sie dann wohl tun? Genau, sie werden sich (bzw. den Anwendern ihrer Produkte) in den Fuß schießen. Daran ändern auch Gebete nichts:
»8.5 SQL Injection
Authors are strongly recommended to make use of the ? placeholder feature of the executeSql() method, and to never construct SQL statements on the fly.«
(W3C: Web SQL Database, Editor’s Draft 14 January 2010)
Kann sich nicht mal jemand hinsetzen und das richtig machen?
Sicher ist sicher? 
Entbehrt ja nicht einer gewissen Ironie – zuerst werden solche vorgefertigten Sicherheitslücken definiert, und schon im gleichen Dokument wird wieder zurückgerudert. Was will man von den Verursachern solcher Ideen noch erwarten, was das Attribut „richtig“ verdient hätte?
Andererseits: Was ist denn daran auszusetzen, wenn wir den Script-Kiddies ein leichteres Ziel spendieren? Und gerade mit diesem Projekt ist ein wahrer Strom von Sicherheitsproblemen garantiert.