RLS é segurança adicional, no nivel de banco de dados.

Mas o problema está na API, ao permitir SQL injection e dar poder ao usuário logado ececutar qualquer query.

Mas se a RLS estiver bem configurada, o usuário não consegue fazer nenhuma operação suspeita com o acesso da API, somente o que a policy permite.

RLS é segurança adicional, no nivel de banco de dados. Mas o problema está na API, ao permitir SQL injection e dar poder ao usuário logado ececutar qualquer query.