Nas injeções, a principal causa está no uso de instruções concatenadas diretamente com entradas do usuário. Essa prática, ainda comum em sistemas legados e até em projetos atuais com prazos apertados, abre espaço para manipulação de consultas. A recomendação universal é o uso de prepared statements ou queries parametrizadas, que isolam dados fornecidos pelo usuário da lógica do banco de dados. Além disso, a validação de entrada deve seguir regras específicas: limites de tamanho, rejeição de caracteres especiais e uso de whitelists em vez de blacklists. Os ataques de injeção não se restringem ao SQL. Em ambientes corporativos que adotam NoSQL, a ausência de validação adequada permite a construção de consultas arbitrárias em bancos como MongoDB ou CouchDB. No caso do LDAP Injection, uma manipulação simples pode expor ou modificar credenciais armazenadas em diretórios. E nos ataques de Command Injection, o impacto é ainda mais grave: o invasor pode executar comandos diretamente no sistema operacional, obtendo controle total sobre o servidor comprometido. Considerando as causas e recomendações para prevenir ataques de injeção mencionadas, assinale a alternativa correta. A principal causa dos ataques de injeção é o uso de prepared statements ou queries parametrizadas. A validação de entrada deve seguir regras específicas, como limites de tamanho e rejeição de caracteres especiais, utilizando blacklists. Em ambientes corporativos que adotam NoSQL, a ausência de validação adequada permite a construção de consultas arbitrárias em bancos como MongoDB ou CouchDB. LDAP Injection é um tipo de ataque que se restringe apenas à manipulação de consultas SQL. Command Injection permite que o invasor modifique consultas SQL diretamente no banco de dados.