Non ho ben capito la tua domanda.
Ma provo a rispondere.
Il fatto che si parli ad esempio di sql injection non vuol dire che tutti le prevengano correttamente.

Esistono mille buchi nei quali un malintenzionato si può infilare ed il nostro compito é di chiudere questi buchi, ma più grande é l'applicazione più é facile che ci sfugga qualcosa