вобщем нашел sql inj с помошью union select вытащил user version итд но когда вытаюсь достать названия из information shema то получаю forbidden.
как можно обойть фильтрацию?

url encode, отправлять запрос методом POST и тд
Определи точно на какие последовательности символов ругается сервер

начинает ругаться на information_shema.tables и post и get уже пробовал

как можн information_shema.tables заменить?

и еще проблема бывает с помощью order by нахожу кол-во columns но при union select выдает ошибку что неверное кол-во,можн в этом случаи что нить сделать?

чтот я не в ту тему немного запостил хотел в уязвимости

information_shema.tables => %69%6E%66%6F%72%6D%61%74%69%6F%6E%5F%73%68%65%6D%6 1%2E%74%61%62%6C%65%73

Пробелы только убери
и еще проблема бывает с помощью order by нахожу кол-во columns но при union select выдает ошибку что неверное кол-во,можн в этом случаи что нить сделать?
Скорее всего переменная используется в двух запросах сразу. Пробуй крутить как слепую

Spyder в виде hex вроде пропускает но названия баз N/A

upd
не в hex тоже фильтрует ты там букву c пропустил в sChema

Гадать трудно спали в ПМ линк попробуем варианты сразу...

Скинул тебе в ПМ полный дамп БД и решение.