SQLi-бекдор

(Речь пойдет не о создании триггеров в базе данных).
Можно ли провести SQL-инъекцию, если у скрипта такой код?:

По идее нет. Посмотрим что в файле config.php:

Хм... Никто ведь нам не запрещает использовать в именах функций кириллицу (один символ "е" заменен на такой же по написанию кириллический). Не комильфо - да, но ведь никто не запрещает (еще очень здорово юзать goto)...
Получается, если в параметр будет передана строка "magic", то инъекцию можно будет провести:

Для mysql без разницы, что идет после комментария, а для нашей хитрой функции - нет. Вызова палевных функций нет, статический анализ ничего не найдет, сканеры уязвимостей багу тоже не увидят (ибо не знают о волшебной силе "magic").
А она будет висеть, пока не пройдутся руками по всему коду.

Вот такая свистоперделка. Имеет смысл использовать подобную технику при написании софта под конкретный сплоит - мы эксплуатируем багу, заливаемся (если получится),  и патчим уязвимый код подобным методом (убиваем сразу 2 волков - во-первых, на случай если снесут шелл останется эта лазейка, во-вторых мы перекрываем путь для конкурентов).