SQLインジェクション対策は小難しいことを考えなくても機械的な対応が出来ると思う。

JavaだったらPreparedStatementを使わずに生のStatementを使用しているコードを検出
したらIDEレベルで警告を出してあげるようにする事と、パラメータバインドを使えない
order by句とかに格納する変数の値チェック
（ここのチェック方法はちょっと悩むけれど）
を行うようにすれば、万事解決。
checkStyleとかで実現させるのは難しいのかな？

ここまでWebアプリケーションセキュリティが騒がれてくると、可能な部分に関しては
機械的な対応が取り入れられる流れになってきそう。