P.S. Добавлю немного от себя: данную статью надо воспринимать правильно. не весь xPDO дырявый. Речь как раз о методе xPDOQuery::toSQL(), который нельзя использовать для боевых целей, во всяком случае точно не делать это там, где есть входящие параметры извне. И как следствие — если модуль много где использует этот метод, значит он уязвимый.