Ситуация с SQL-инъекциями давно и тщательно изучена. А если данные хранятся не в SQL-базе, а в XML файлах? Тогда для доступа к ним можно использовать язык запросов XPath (http://www.w3.org/TR/xpath), во многом похожий на SQL и так же во многих ситуациях подверженный вставке непредусмотренных запросов. Статья "Intro to XPath Injection" рассматривает ряд вопросов, связанных с XPath-инъекциями.
http://www.ethicalhacker.net/content/view/185/1/