имхо, сначала язык программирования, sql запросы, а уже потом уязвимости.
Просто лепить кавычки и не понимать как они работают - глупо.