Webアプリの場合、タイミングによるけど特殊な記号に対する処置をちゃんとしてればまあ対策になると思いますが、例えば何かの入力フォームで、JavaScriptとかではなくアプリの側で「文字数制限」のチェックとかを行っていたとしたら、けっこう対策になっちゃったりするのかなあ？
SQL文をインジェクションするにしろ、スクリプトをインジェクションするにしろ、それなりに文字数が必要になりますからね。文字数制限ができるようなフィールドばかりなら、文字数制限だけでけっこうなんとかなっちゃうんだろうか。
とはいえ、結局気休めでしかないっちゃないけどね（苦笑）。住所とかあったら、迂闊な文字数制限だと書けなくなっちゃいそうだしね。