пробую писать сам по аналогии с другими, так же изменяю существующие.

вопросы таки:.

1 ) может ли нести какую нибудь уязвимость модуль, в котором нет обращения к бд? просто страничка на пхп, сделанная как модуль.

2) в тех модулях, где есть обращение к бд, в тех посетители так же видят просто страничку (им не предлагается ничего отправлять и вводить)

3) в тех модулях, где данные посетителя (ник, комментарий) вводятся в бд. но в таких я делаю по аналогии с другими (фильтры, и т.д.)

любой скрипт может быть уязвим, все зависит от фильтрации переменных которые он использует, в том числе и те которые не передает пользователь скрипту, а внутренние.
Если скрипт не использует подключение к бд, то есть уязвимость , например, в инклуде файла, если идет через какуюто переменную, возможно выполнить php-инъекцию