Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: FaScript FaName 1
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием page.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
SQL код для pconfig.php:
999999'%20union/**/select/**/0, load_file(0x2e2f61646d696e2f70636f6e6669672e706870),2,3/* */from/**/mysql.user/*