Совсем недавно был взоломан forum.ul.ru,Php форум на движке Invision Power Board,взломан был несколькими sql-запросами.Как конкретно сказать не могу,вопрос такой-как вообще возможны такие атаки с использованием Sql?И ещё-этот кул хацкер получил пароль админа-как,ведь пароль имеет md5-шифрование?Спасибо за внимание.

5. Почитать про SQL injection

1. MS SQL, My SQL, Oracle, Postgres
2. Можно конечно
3. Зависит. см.
http://www.securitylab.ru/?ID=27089
4. В большинстве случаев можно. Обычно в ошибке отображается драйвер для конкректной базы данных. В некоторых случаях - например MS SQL и Access он может быть одинаковый. Но это редко

Очень даже реальна. Например xakep.ru был взломан через SQL injection.

1.Слышал года 2 назад,что некоторые функции PHP(fopen(),unclude(),requeir()) подвержены poison null byte при отключении фильтрующей null-ы в HTTP-запросе,директивы,отключенной по умолчанию.Изменилась ли ситуация?
2.Да,PHP source injection-очень редкая уязвимость в скриптах,т.к. в PHP из WEB-запроса задаются только неопределённые переменные,т.е. значение к которым не присвоено.
3.А почему все самые 'хацкерские' сайты юзают ASP и соотвественно ISS?C чем связано?
4.Да,где бы отыскать доку по протоколу работы Sql-сервака?Хотя бы по какому транспортному проту работает,требует ли авторизацию,etc.?
5.Не посоветуете какую-нибудь рейтинговую библиотеку с частопопадающимися дырявыми скриптами,подобно everysoft.com?

Но наверное сложнее в настройке?
По остальному чё сказать можете?

Пара комментариев:
1) ASP + MSSQL быстрее, если использовать ASPX (.NET) -- ASP по производительности далеко до идеала, а PHP по большинству тестов чистый ASP обгоняет.
2) ASP + MSSQL умеет _на_порядки_больше_, чем PHP+MySQL.

В случае простого counter-а или опросника, ASP с MSSQL просасывает только в путь. В случае сложного комплексного сайта (тот же мелкософтЪ) -- рулит безмерно.