Сканер - есть сканер. Даже платный сканер это только 70-80% реальной защиты. Он не человек и он даже может не увидеть всех прикрас скрипта и пропустить инъекцию, только потому, что она прописана и объявлена в скрипте нестандартно.
Сканер работает только по своему алгоритму. Любой входящий текст от пользователя он будет фильтровать по mysql_real_escape_string. Функция сама по себе одна не отфильтрует от всех уязвимостей, да и она является устаревшей. Если твои буксы еще никто не ломал - я очень рад, но это еще не значит, что он не уязвим. Либо не столь популярен среди остальных на фоне, либо его не трогал еще опытный взломщик.
Со своей стороны я только поддерживаю проекты, которые работают долго и платят пользователям. Поддерживаю админов, которые заботятся о безопасности проектов. Но, поверь, на моей практике не мало случаев, когда одним сканером не обходилось. Может букс изначально был не столь дыряв, что пройдя сканером, удалось достаточно защититься.
Фермы страдают больше и чаще, так как они признано завоевывают бОльший интерес пользователей и школьников )))