el SQL generado no necesariamente implica inyecciones de SQL, la mayoria de lenguajes -que se precien de serlo- ofrecen metodos para trabajar con parametros de forma segura. Ahora bien, tampoco el uso de procedimientos almacenados indica que no se pueda hacer sql injection (recuerda que tambien en los sp se puede generar "sql al vuelo")...

por otro lado, el SQL generado es mas flexible para los O/RM, a diferencia de los procedimientos almacenados

cada esquema tiene sus ventajas y desventajas, sobre este tema se ha escrito multitud de articulos o posts en blogs...te recomiendo la lectura de http://weblogs.asp.net/fbouma/archiv.../18/38178.aspx para que no desprecies tanto al sql generado