Помнится, как-то (а было это практически ровно два года назад) я расписывал, каким образом можно защититься от SQL-инъекции при помощи файла .htaccess. И признаюсь Вам честно, уважаемый читатель, уже тогда у меня в голове засела мысль о том, что где-то там есть какая-то лазейка. В принципе, я даже догадывался, как она выглядит и каким же образом можно обойти эту .htaccess защиту. Именно поэтому я в очередной раз повторю: не надейтесь только на одну защиту, обороняйтесь всегда комплексно. Никогда не думайте, что какой-либо параметр "не пройдет". Любую защиту можно обойти.