Le passage était donc :

[...]envoyées en mode GET, le procédé standard pour les injections SQL.

Même si cet article n’est plus tout récent, je suis tombé dessus dans les premiers liens de ma recherche google, et je tiens à faire une petite remarque sur un passage :

<>

Je me dois de prévenir nos nouveaux programmeurs, les injections SQL peuvent venir par GET, mais aussi par méthode POST, via les cookies, et même dans certains cas en forcant la valeur initiale des variables PHP si elles ne sont pas correctement initialisés en début de page. Et c’est possible qu’il y ait d’autres procédés qui me sont incconus …
Le petit plugin bien utile de firefox test à ma connaissance une petite partie (probablement POST et GET), mais faites attention à TOUTES les variables que vous recevez de l’utilisateur si vous voulez les utilisez.

Certains sites possèdent des failles de sécurité uniquement en écrivant le type de votre navigateur en bas de page sans l’avoir préalablement vérifier…

Bon code !
Lural

$variable = $_POST["variable"] +0;

le +0 force la conversion en numérique et tue ce qui ne doit pas y être