函数、触发器和行级安全策略允许用户将代码插入后端服务器中，其他用户可能会无意中执行该代码。因此，这些机制允许用户相对轻松地让其他人“中木马”。最有效的保护是严格控制哪些用户可以定义对象。如果这不可行，则只编写引用受信任所有人拥有的对象的查询。从 search_path 中移除允许不受信任的用户创建对象的任何架构。

函数在后端服务器进程内运行，具有数据库服务器守护程序的操作系统权限。如果用于该函数的编程语言允许未经检查的内存访问，则可以更改服务器的内部数据结构。因此，在其他众多情况中，此类函数可以绕过任何系统访问控制。允许此类访问的函数语言被认为是“不受信任”的，并且 PostgreSQL 仅允许超级用户创建用这些语言编写的函数。