le sql injection vengono fatte dall'utente.
Anche se nel tuo caso...non è un vero e proprio sql injection...perchè quel tipo di attacco colpisce il db..è più che altro un'inserimento di codice fastidioso che viene visualizzato ad ogni caricamento della pagina.