Набор базовых правил mod_security можно обойти различными альтернативными конструкциями. Если для SQL-инъекций не так много вариантов, то для PHP-injection можно придумать массу: например, assert() вместо eval(), `cmd` вместо system() и т.д.

__________________
<? Raz0r.name — блог о web-безопасности