セキュリティ上の問題とバグの分岐点がいまいちはっきりしない。

自分の中では、誰かしらに被害が発生することが予測されるか否かで線を引きたいのだけれど、世の中の流れはそうじゃないのかな？
例えばSQLでLikeを使用する際に、%をエスケープする必要があるということをSQLInjectionの対策としてとりあげることは適切なんだろうか？エスケープしないことでセキュリティの問題が発生するとは考えられないので、単なるバグレベルの問題だと思うのだけれど。