Эта инъекция 100% только через MySQL работает или она может напрямую через PHP работать? С таким никогда не встречался, почему-то мне сразу показалось, что MySQL тут вообще не при чём.
Я бы вообще запретил использование url в include, т.к. это пиз#ец какая уязвимость. Для этого в php.ini: allow_url_include = false; Насчет .htaccess, если данный параметр передается методом GET, то можно его отловить, например так: RewriteCond %{QUERY_STRING} allow_url_include RewriteRule . / [L]
foreach($_GET as $k=>$v)$_GET[$k]=mysql_real_escape_string($v);
foreach($_POST as $k=>$v)$_POST[$k]=mysql_real_escape_string($v);
С таким никогда не встречался, почему-то мне сразу показалось, что MySQL тут вообще не при чём.
Насчет .htaccess, если данный параметр передается методом GET, то можно его отловить, например так:
RewriteCond %{QUERY_STRING} allow_url_include
RewriteRule . / [L]