¿Y estás seguro que ha sido a través de ese formulario? Si no habáis tenido control alguno sobre ese formulario, revisa, si los hay, otros enlaces de esa página que pudieran ser vulnerables. Es importante quitar los tags cuando se envia información, para evitar que añadan php, js, html... o hagan "malas cosas" con sql.

Lo que te comentaron anteriormente es importante, pero está claro que añadirte contenido al ftp no es cosa de un sql inyection.

Yo añadiría que tuvieses también cuidado con la posibilidad de los Js inyection (por si usas funciones javascript para algo importante)

y... Cuidadín con los datos del FTP...