Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: PenPal 2.x
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "mcity" сценарием search-results.asp и в параметрах "username" и "password" сценарием login-verify.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
group by penpal_memberdetails.memid,penpal_memberdetails.ap prove, penpal_memberdetails.mdoj,penpal_memberdetai ls.groupid,penpal_memberdetails.group_time_span having 1=1;--
Затем выполнить update.