El sql-injection (y esto es suficientemente claro en mi post anterior) se produce a nivel de aplicación. El que uses o no url friendlys es absolutamente irrelevante y no le pone ni le saca nada a la vulnerabilidad de la aplicación.
La vulnerabilidad puede estar presente en ese caso o en cualquier otro, porque es un problema de programación, no de URL.
De todos modos existen técnicas para prevenir que estas urls's se vean afectadas: http://www.edinteractive.co.uk/article/?id=48