Sì, le SQL injection ci sono ancora, la base di PHP 4.x installata è ancora saldamente maggioritaria rispetto al 5 ed in ogni caso anche con quella release i problemi ci sono, eccome.

Quanto agli script a pagamento, non ho detto - come forse hai inteso - che siano migliori di quelli open source. Anzi, l'open source, proprio grazie al grande numero di persone che contribuiscono ad un progetto, genera solitamente un codice migliore di quello di tanti script di basso costo.

Il problema è che il sorgente di uno script open source è conosciuto (ed usato) da migliaia, diecine di migliaia o centinaia di migliaia di persone, e quindi un suo "buco" viene conosciuto (e sfruttato) rapidamente da moltissimi malintenzionati.

In uno script proprietario invece non puoi fare operazioni di questo genere, perchè non conosci il codice nè la struttura del database.

Quando ho iniziato a lavorare sugli script PHP per i CMS, mi avvicinai alle primissime versioni di PHP Nuke: la prima cosa che feci dopo l'installazione fu modificare il nome di tutte le tabelle del database, e con questo semplice e banale accorgimento mi salvai dai primi "deface" che vennero fatti a quello script.