Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: PHPFootball 1.6
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «dbtable» сценарием show.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
//show.php?dbtable=Accounts&dbfield=Username&dbfieldv=%&dbfields=Id&