人間なんだから、
「対策していると”思ってた”」「出来ている”つもり”だった」ってのがあるだろ。
XSSやSQLインジェクション関連の情報流出って大体そうじゃないか?
端からセキュリティ観念がゼロでシステム開発している奴なんて稀だろ。

そら、責務やら論理的観点やらプログラマとしての正しさやら
言い出したらキリがないよ。

「俺は絶対間違えない!」ってのなら、出力時だけエスケープすればいいだけで、
DB入れる前にエスケープしてる奴を全否定するのは違うだろ