Pues según el enlace que me envías, friendly es una buena manera de evitar la inyection, así pues, conclusión, ¿son eficades la friendly url para evitar la injection sql?