函数、触发器和行级安全策略允许用户将代码插入到后端服务器中，其他用户可能会无意中执行这些代码。因此，这些机制允许用户相对容易地“木马”他人。最强的保护是严格控制谁可以定义对象。如果无法实现这一点，则编写仅引用具有可信所有者的对象的查询。从 search_path 中删除任何允许不可信用户创建对象的模式。

函数在后端服务器进程内部运行，并具有数据库服务器守护进程的操作系统权限。如果用于该函数的编程语言允许未检查的内存访问，则有可能更改服务器的内部数据结构。因此，除其他事项外，此类函数可以绕过任何系统访问控制。允许此类访问的函数语言被认为是“不可信的”，并且PostgreSQL 只允许超级用户创建用这些语言编写的函数。