gracias, muchas gracias por responder. Sus consejos me han sido de mucha utilidad.

He creado una función que filtra caracteres y palabras peligrosas (llamese comilla simple o instrucciones SQL) que es llamada en cada pagina del sitio para evitar esos ataques.

Noté que hay dos formas de atacar: ya sea desde los formularios o bien desde la misma barra de direcciones:
Si es desde los formularios, en los inputs generalmente agregan scripts que llaman a troyanos de javascript alojados en otras paginas.
Si es desde la barra de tareas, el ataque es más bien con un SQL encriptado en hexadecimal (como bien decías u_goldman). Grande fue la sorpresa cuando
desencripté el hexadecimal y vi las sentencias que realmente ejecutaban.
Leyendo y buscando información encontré que a esto le llaman XSS (Cross-site scripting) y aquí les dejo un enlace al respecto:
http://es.wikipedia.org/wiki/Cross_Site_Scripting

Entre tanto ataque, he pensado en cual sería la manera de contratacar (o al menos responder) los ataques. Creo que el baneo de ip es inútil (una ip aleatoria se saltaria cualquier tipo de intento de baneo), quizás redireccionar a una pagina que contenga algún Javascript que le deje pegado el equipo al maldito no sería mala idea.. no sé que piensan.. cualquier sugerencia es bienvenida

Al menos ya estoy más tranquilo y me siento más seguro, ahora me siento como si estuviera usando 5 condones a la vez

Gracias de nuevo, se pasaron