php ile sql yi yasaklayabilirsin.fakat gif olarakda shell atabiliyorlar.ama biraz zor.
dediğim gibi php ile sql yi koyma diğerleri farketmez.