SQL injection в запросе типа INSERT
 

Салют

есть один хороший РНР-скриптик, уникальный в своём роде, установлен только на одном сайте - соответственно, исходных кодов в инете нет. Используется MySQL

Методом тыка была обнаружена дыра:

INSERT INTO marks (userid,typeid,mark) VALUES (247,2,3)

параметр mark передаётся из формы и никак не фильтруется, вставляется "как есть", не обрамляясь кавычками. Предполагается, что это целое число ( наверное, тип UNSIGNED INT)
параметры userid и typeid фильтруются и, видимо, по intval()
На серваке включены magic_quotes_gps

вопрос: возможно ли использовать эту уязвимость для выполнения произвольного sql-кода?
Конечная цель - слить к себе исходники скриптов движка