Se il punto è difendersi da tool automatici va bene qualunque cosa di leggermente più sofisticato dall'inserire la stringa direttamente nella connection string (anzi, più concretamente basta che ci sia su qualunque cosa di diverso da WordPress o altri CMS ultradiffusi); ma comunque per i tool automatici di solito non è il DB che interessa (non stanno puntando il tuo sito nello specifico), quanto lo spazio FTP per poter caricare pagine di phishing, exploit o similari.