Wenn man alle Werte, die über GET / POST kommen ordentlich escaped und/oder validiert, sollten SQL Injections aber auch nicht so das Problem sein.
Natürlich sind Parameter generell der bessere Ansatz, aber bevor man alles auf Parameter umschreibt, kann man zumindest mal die eingefügten Variablen escapen und validieren.