zusätzlich zu den genannten Varianten wollte ich mal fragen wo den der Eintrittsbereich war? Die verbinden sich ja in der Regel nicht direkt mit dem DBMS sondern schieben oft fremde Scripte als typische Get-Parameter in den Seiten in deinen Code.
Es lohnt sch also auch mal die http-Zugriffe des Webservers zu überprüfen ob da was mit '=http' in den LOgs auftaucht.
Gibt reichlich Standardscripte die naiv genug programmiert sind um ne fremde Adresse unterschieben zu lassen und von dieser dann blind zu includen.
Odium