いろんなサイトで言及しているので、わざわざ書くことも無いですが、1点だけ。
たしかに完全なセキュリティなんてないでしょう。
でもね。「SQLインジェクション」だとしたら、それは過失としかいいようがないですよ。
外部からの入力に対してエスケープするのはジョーシキですから。
やってないとしたら手抜きとしかいいようがない。
否定をしなかったという事は、少なくともそれに関与することだったのでしょう。
ま、価格.com なんて使ってないからいいけどね。