Mi inserisco da profano in questa discussione che trovo molto interessante per chiedere se con i nuovi tag dell'html5 molti di questi problemi saranno risolti a priori...
Cioè nel momento in cui all'interno dei campi di testo io posso specificare di accettare solo i valori {a-z;0-9} gran parte dei problemi dell'sql injection dovrebbero esseri risolti.. o sbaglio?

Edit: Anche se forse effettivamente è solo uno spostamento del problema dal codice php al codice html....