sólo una consulta absurda pero hasta no tener respuesta de algun experimentado no estaré tranquilo.
El injection es sólo por GET?
si asi fueses, cuales son los otros metodos para atentar contra las paginas, me parece que hay un xss o algo asi, tambien usando javascript en la URL.
Mi interes es conocer a tu enemigo para evitar el mayor daño posible
gracias y saludos