Tienes toda la razón, no es un problema de php (lo que pasa es que php es lo más utilizado, a igual que mysql). Yo soy nuevo en php, pero me estoy preocupando bastante en evitar este tipo de ataque filtrando todo lo que envian los usuarios, ni caracteres extraños, multilinias, lo que se me ocurra.

En cambio, php5 incorpora variables que activandolas, por defecto te quitan el " ' " o otros caracteres de ese tipo (por lo menos mi hosting lo hace). En cambio, estoy en un proyecto de j2ee en mi empresa y me dio por comprobar este tipo de ataque en j2ee y se lo traga todo, es decir, no se si habrán funciones para evitar esto en j2ee, pero en php si, y muy faciles de encotrar en la web, !!!Mira este foro¡¡¡

Saludos.