Google GearsのSQLインジェクション対策
http://code.google.com/apis/gears/security.html
Database Security
Best Practice:: Avoid SQL injection attacks. Never insert user input directly into a SQL statement. Instead, use substitution parameters in Database.execute().
ユーザの入力をダイレクトにSQLに入れるな、SQLインジェクション攻撃食らうよ、と書いてある。
ぱっと見たところなるほどね、ってなるけど、よく考えたら攻撃するのはそのユーザ自身が持ってるローカルデータベースでしょ、もともと自由自在じゃんって思うのだけどなあ。サーバとのデータ同期がバックグラウンドで自動的に行われるから?いまいちデータ同期のところはどうやってるのかよくわかってない。