La inyección de SQL no tiene nada que ver con los formularios.Tiene que ver con el uso de cualquier variable recibida desde el cliente, sea POST, GET, cookie o lo que sea.
La seguridad consiste en entender esto, no en hacer mil validaciones (qué sentido tiene hacer strip_tags después de htmlentities??) .
Ese trozo de código es obvio que no lo ha metido tu hosting.Está camuflado para que parezca un asunto de estadísticas, incluso el nombre del host al que se envia la información es mbrowserstats.com..Pero el código incluido , dos iframes a nosequé sitios, es muy sospechoso...
Estaría bien que capturaras qué es lo que se carga en esos 2 iframes.