Meine konkrete Frage: wo wird hauptsächlich was optimiert? In der Datenbank oder im Script der betreffenden Webseiten?

Ich vermute vorrangig in den Scripten.

Gibt es eine Möglichkeit, selber auch nachzuschauen, wo was gemacht wurde?

Erzeuge eine Differenz aus altem und neuen Code (z.B. mit Werkzeugen wie WinMerge).

Ich meine, für SQL Injection Schutzt nutzt man sicherlich bestimmte Script Worte.

Bestimmte typische Merkmale lassen auf einen Injectionversuch schließen - im Code selbst sieht man das aber idR. nicht, wenn dann im Zugriffslog des Webservers.