To si si asi pomýlil s útokom, ktorý zneužíva implicitnú konverziu dátového typu (v tomto prípade dátumu) na reťazec pri vytváraní dynamických SQL dopytov priamo na SQL serveri. Kto vytvára v uložených procedúrach dynamicky SQL dopyt, musí tiež ošetrovať svoje vstupy - parametrizáciou alebo escapovaním. To nemá s time-based SQL injection nič spoločné, hoci sa zneužíva nastavenie formátu času.

Typický dopyt pre time-based SQL injection vyzerá (pre MSSQL) takto:

1 and if not(substring((select @version),25,1) < 52)‏ waitfor delay '0:0:9'--