Aparte de lo que comenta AZ, el comentario de tammander también es del todo correcto, si escribes tu código de modo tal que no se pueda ingresar inyección de SQL --Estoy cansado de los anglicismos je je je ;) -- qieda bastante redondeada la seguridad de tu aplicación, por un lado no se puede llamar a páginas de proceso desde otro lugar que no sea el dominio mismo, por otro lado no se pueden alterar los parámetros para inyectar sentencias SQL.

Saludos!