ORM só economiza tempo se vc já sabe usar (parece óbvio, mas enfim). Então - só pra ser chato - ele economiza tempo da segunda vez em diante :-)
E dá pra evitar SQL injection sem ORM, e nem é tão difícil assim (a maioria das linguagens já possui mecanismos prontos, as pessoas é que não usam). Assim como é possível fazer código vulnerável a SQL injection mesmo com ORM (os programadores ruins costumam ser os mais "criativos" pra esse tipo de coisa).