Sql injection değil. Pdo kullanılmalı evet fakat pdo query kullanılırsa yine olmaz. En sağlıklı çalışanı pdo prepare. Buna dikkat edilmeli özellikle. Ek olarak htmlspecialchars, strip_tags kullanarak hem injection hem xss açıklarının önüne geçebiliriz.
Hazır script olduğu için direkt yaratıcısına soralım.
@Quantum; yazılımınızda bu tarz açıkları engelleyen bir faktör var mı? yoksa kontrol ettirelim mi?