В php 5.4 убрали дырень, из-за которой возникало большинство инъекций (www.php.net/manual/ru/security.globals.php). Так что их постепенно становится меньше (по мере обновления php по миру).
Но так как разработчики писать лучше не стали - исчезнуть они не исчезнут.

PHP-инъекция становится возможной, если входные параметры принимаются и используются без проверки.

Источник То есть, они есть, были и будут пока есть те кто не защищает входные параметры/данные/и т.д.
Сейчас все нацелены на XSS, даже гугл готов платить 7500$ за уязвимость.
Вот и мини игра - https://xss-game.appspot.com/
Недавний пост на habr о XSS habrahabr.ru/post/224773

Да, они имеют место быть. Конечно, разработчики слали больше уделять внимания проверке данных, но не все. К тому же до сих пор популярны PHP-инъекции через загрузку файлов.

Они есть и будут есть, так что надо проверять данные.

От PHP это не зависит, т.к. PHP по умолчанию не фильтрует вывод и в PDO есть способ писать небезопасно. Фреймворки немного решают проблему с SQL injection, а чтобы не было XSS нужно фильтровать вывод данных из БД и пользовательских данных.