Euh en PHP, ça fait longtemps que les injections SQL sont éliminées (ça date de quand, déjà, PDO ?!).
Pour le reste, ça dépend beaucoup de ton infrastructure serveur (si tu utilises un proxy front-end et de l'url rewriting, tu n'as jamais accès au code) et de ta façon de développer, c'est vrai. Mais c'est aussi ce qui permet la souplesse de la chose (avec un Tomcat, par exemple, tu évites aussi beaucoup de failles, mais tu n'as pas la même souplesse de déploiement).