Просто от некоторых детских ошибок хорошо защищает правильный дизайн системы.

Сейчас в PHP есть PDO, дизайн которого слизан с модуля DBI из Perl (подобный же дизайн используется в Python, и, думаю, в других языках). Если в запрос подставлять данные только с использованием символов-заменителей ?, то довольно сложно допустить в коде возможность SQL-инъекции. Если использовать какой-нибудь ORM, то ещё сложнее.

Однако, мне кажется, что большинство пишущих на PHP продолжают писать запросы вроде "SELECT COUNT(*) FROM users WHERE login = '" . $_POST['login'] . "' AND password = '" . $_POST['password'] . "'"; При таком способе формирования запросов довольно легко забыть воспользоваться функцией mysql_escape_string или ей подобной и в итоге пускать в свою систему кого ни попадя, кто догадается передать вместо логина и пароля нечто вроде "' OR '' = '".