Wenn jemand böses Zugriff auf das System hat und die Datei zu manipulieren kann, dann ist man eh schon aufgeschmissen. Gegenüber der aktuell verwendeten Registry ist das kein großer Unterschied. Eine Ressource lässt sich da fast ebenso leicht durch eine bösartige Ressourcen-DLL (z.B. mit DE Extension) neben der EXE unterwandern. Den dafür eventuell eingerichteten Zugriffsschutz kann man dann ja auch für die INI-Datei einrichten, dann sind beide Verfahren gleich (un-)sicher.

Bei SQL-Injection geht es aber gar nicht um die Manipulierung der SQL-Anweisung an sich, sondern um die Verfälschung durch bösartige Eingaben, ob die nun vom User am lokalen Rechner, einer importierten Datei oder über die Eingabe auf einer Webseite kommen. Das Speichern der SQL-Anweisung in einer INI-Datei öffnet also mitnichten einer SQL-Injection Tür und Tor. Das ist nur von der SQL-Anweisung selbst abhängig - der Speicherort hat damit überhaupt nichts zu tun.