Aparte de lo mencionado por alguienmas, la inyección de código malicioso no implica necesariamente crear archivos en tu sitio, sino introducir códigos ejecutables (generalmente javascript) que tu script guarda en base de datos o archivo de texto (proceso normal) y después muestras en alguna página, como parte de la publicación (noticia, evento, comentario, etc.) y se ejecuta ese código en el cliente.

Ahora, crear archivos en tu sitio (lo que puede dar acceso para otras modificaciones) es posible si tienes un formulario para subir archivos (imágenes, canciones, etc.) y no lo tienes validado correctamente.

Cómo evitar lo primero?:
- Función para evitar XSS - Muy útil para limpiar todas las entradas manipulables por usuario
- Limpiar HTML - Si tienes cuadros de texto donde permites código HTML o texto enriquecido, aquí hay una pequeña guía para obtener un código adecuado que no rompa el diseño de tus páginas y también tiene opción para detectar XSS

Cómo evitar lo segundo?:
- Verifica la extensión del archivo que se subió. En teoría, con eso sería suficiente, en la práctica, hay otras cosas a revisar, pero puedes buscar en los aportes del foro, hay mucho material al respecto.