PDO si se utiliza adecuadamente te permite evitar SQL Inyection, por su parte Doctrine usa PDO además de que provee una capa extra DBAL que cumple ése y otros objetivos.

No todos los ORM's aplican PDO, pero uno de sus fuertes es precisamente evitar el SQL Inyection.

con respecto a otros ataques:

CSRF: los ORM's nada tienen que ver aquí, la mayoría de los FW MVC ya implementan solución a ello
XSS: igualmente depende del FW MVC. aunque existen técnicas simples para evitarlo, como usar html_specials_chars y demás funciones
RFI: se controla verificando el origen, puede que un simple file_exists
Upload Inyection: igual que RFI, verificando el archivo subido