Una consulta sql bien escapada no es vulnerable a sql injection. Los frameworks php actuales también traen filtros a POST que bloquean las injecciones. Usar procedimientos almacenados no está del todo bueno porque te queda parte de la lógica en la base de datos. A mi modo de ver la base es para GUARDAR la información y la lógica tiene que estar toda en la aplicación, pero bueno son distintos puntos de vista.