よくこんなコードをみかける

  query="select * from project where name='$name'";

とか

  request="param=$param&code=$code";

とか

  file="/tmp/$proc.txt";

とか．

SQLインジェクションとか，コードインジェクション，XSSとか，この手の脆弱性の根本は
「本来自然言語を書くための文字列に，へんな言語を書いている」
ことであると思う．

いっそのこと，文字列に自然言語しか書けなくしたらどうだろう．