SQLi — классика, но больше не повод паниковать, если сразу применять подготовленные выражения и фильтровать данные на сервере. Главное, не пускать в запросы сырые строки и не давать базе лишних прав. Быстрый обход клиентской валидации — стандарт, но если серверный код чистый, атаки почти бессмысленны. WAF и регулярные обновления — хорошее добавление, но без правильного кода всё равно дырка останется.