Помоему как раз по этому критерию на работу то и набирают "спецов" с купленными дипломами.
Тут необходима в первую очередь увлеченность своим делом, а не желание заработать выдавая себя за спеца по безопасности.
Все вопросы сами собой отпадали бы, если бы в компаниях всех этих горе-спецов тестировали как они борятся с уязвимостями, смотрели бы как они пишут код, специально подталкивая их к уязвимым функциям и т.д...

Об этом например говорит тот факт, что почти во всех SQL есть вывод ошибки. ($mysql_error), то бишь всё просто копипастят из инета, берут функции и просто юзают их, а в инете как известно никаких фильтров в примерах то и не стоит.