mancano tante cose. Se parli delle Injection di Sql non avendo accesso a database sul sito, puoi fare a meno di preoccupartene.
Ripeto il codice che hai postato non consente di caricare file sul server. Quindi quel file potrebbe essere arrivato in altro modo.