Los ataques por sql Inject se pueden producir si tienes un formulario atraves del cual puedan inyectar codigo a tus consultas.... eso no tiene mucho que ver con que en el index tengas partes php si no hay formulario el cliente no puede hacer nada con esas partes puesto que ni las recibe.