Codice malevolo

[cdgwm]

Da circa un mese un rompiscatole accede al mio sito con questo tipo di url
pagina.php%3Fid=889+inurl:/pagina.php%3Fi=+enjoyment&ct=clnk

avendo attivato una opzione fornita dal provider che mi invia una mail per le pagine inesistenti a cui si è tentato di accedere a me arriva una mail che appunto segnala questo url ed in più l'ip di provenienza
ho allora creato una tabella degli ip da bloccare che una funzione consulta ad ogni apertura di pagina se l'ip è uno di quelli inseriti reindirizzo ad una pagina che dice "sito in aggiornamento"

ma generando questo url un errore non viene bloccato da quella funzione e mi arriva l'errore
basterebbe che al posto di
%3F ci fosse ? e l'errore non si verificherebbe
pagina.php?id=889+inurl:/pagina.php%3Fi=+enjoyment&ct=clnk
perché lo script pagina.php prende il parametro id lo trasforma in intero e visualizza la scheda se la trova

quale accorgimento mi suggerite ?
che tipo di tentativo è ?

grazie

[cdgwm]

Non l'ho scritto ma è ovvio che l'url corretto è pagina.php?id=889

[DjBart]

sarà un sql injection , hai fatto i controlli sul $_POST_?

[cdgwm]

l'istruzione con cui acquisisco il valore id è
$id = intval($_GET['id'])
in questo modo, credo, trasformo in intero quello che lo script associa alla variabile id
e quindi se è un numero corrispondente ad un record della tabella ne visualizza il contenuto altrimenti visualizzo un messaggio "registrazione inesistente"

piuttosto ho trovato questa pagina
http://geniv.forumcommunity.net/?t=54542306
dove si dice che "Inurl: è un comando di google"
e quindi ancor di più non capisco cosa questo cerca di fare

[mircov]

Devi fare un controllo sull'id usando is_int

codice:

if(!is_int($_GET['id'])) {
      // CODICE DI BLOCCO CON MEMORIZZAZIONE DELL'IP
}