トラックバックに呼応してみます。
どうもこういうくくりかたに対しては忸怩たるモノがあるけどねえ（苦笑）。まああちきもしょせんギョーカイ人だしね。しかし、こういう物言いに対してストレートに反応すると、わたしは原因や本質について話してきたつもりだし、そういう書き物やコンテンツを紹介してきたし、勧めてきた、とかいう物言いしかできないもんなあ。あるいはそういう抗弁ではなく、尻馬に乗って「そうなんだよなあ。ギョーカイってヤツは（やれやれ）」という風味で言うしかなさそう。
ただ、それではいっこうに建設的ではないのでさらに論を進めてみると、セキュリティというのは本来ビジネスプロセス（開発なども含めて）に組み込まれるものだし、そのなかで実現すべきでありましょう。高木さんなどがおっしゃられているように、「サニタイズ」が解決策なのではなく、Webアプリケーションじたいのクオリティをもっと上げるよう考えるべきであって、適切な入力というものの厳密な定義によって結果として「サニタイズ」という要件も含んでいる、そのように考えていくのが本来のスジでしょうね。
しかし、残念ながら本筋を正すという方向でコンサルテーションすらできていない現状があったりするし、モノを売り込めればいい、という雰囲気もあったりします。全部ではないにしてもね。
おそらく長期的にはそういう行き方では損になるんだよね。で、きっとそういう認識をもっとプロモートする必要があるでしょうねえ。
例えばそれが認証制度なのかも知れないし（実際そういうものがあるのだけど、まだまだ使いこなせていない）、あるいはそこまで行かなくても経済的な指標（コストパフォーマンス方面）だったりするのだろうと思います。しかし、もちろんそれだけでは足りないので、ドキュメントや書籍などで本質的な道筋を示唆できないコンサルや、物売りだけのギョーカイ人（一部だと思いたいけどね（苦笑））が活躍できる場を狭めていくとかする必要もあるでしょうね。
ただまあ、そういうギョーカイの肩持つわけではないけど、人が動くのに運用費は出せないとか、保守は払えないなどというお客様がいらっしゃるもの事実であって、そういうお客様に対しては売り逃げしたくなる気持ちもわかるけどねえ（苦笑）。それをもって一方的に売らんかな姿勢である、と言われるとギョーカイも立つ瀬がないのではないかなあ。何とかして欲しい、でもカネは出せない、って実に多かったりするしねえ（苦笑）。もちろんそれは売り手も買い手も両方がどうかなあって部分を持っているのだけど、どっちにしてもある程度マスコミフィルターのかかった過激な言辞でなければ自説をアピールできないので、ギョーカイ悪者説ってのもあるのだろうけどね。
まあでも二極化はおそらく極論に過ぎるでしょう。買い手にも見る目が必要だし、売り手にはもっと真摯なセキュリティ改善の提示が望まれる、ただ、買い手の見る目を育てる部分がまだギョーカイとしては足りてないかな、という現状かなあ。繰り返しになるけど、そういうところに対しては啓発したり制度によって認識させたりしてかないとなんないんでしょうねえ。