MySQL
 

MySQL error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '______1_' AND site_type LIKE '______1_') OR site_type NOT LIKE '
When executing:
select us_name, us_pass from gs_users where us_mail = 'us_name, us_pass from gs_users where us_mail = '''' AND ((is_activ LIKE '______1_' AND site_type LIKE '______1_') OR site_type NOT LIKE '______1_')
КАК ЭТИМ ВОСПОЛЬЗОВАТЬСЯ?

лольный запрос =) На самом деле sql-inj на лицо. Но, видимо, с твоими знаниями sql... В общем нет такого мануала "Как юзать sql-inj, не зная что такое sql и не умея составлять запросы к sql серверу". Каждый случай уникальный и для выполнения атаки типа sql-inj нужно КАК МИНИМУМ представлять себе структуру языка sql.
В данном случае не фильтруется ковычка, что дает огромные возможности.

А вообще, повторюсь, оч. лольный запрос =)))) интересно, как быстро будет выполнятся LIKE в 3-х местах, да еще и написанный через OR по разным полям =)))) Откидываем индексы, и, если в таблице есть текстовые поля, роняем sql сервер в течении 5 минут. Просто повторяя запрос =))) с мопеда =)))))

P.S. В свое время, кстати, завалили много сайтов таким способом. Смотрели самую уязвимую страницу (чаще всего поиск). Составляли запрос таким образом, чтобы он выполнялся как можно дольше по времени, открывали в опере 20 окон, дали релодить окно каждую секунду и шли пить чай =) Пока пили чай - сайт вешался =)))

ты прав я в этом не разбираюсь но ты можешь написать какой нибудь запрос

Как тебе могут написать какой-ннибудь апрос если ты даже ссылку не кинул на скулю???
Даже если ты чего-нить сделаешь, то ты всё-равно ничего не поймёшь...

Пара советов:
Качай отсюда учебники по MySQL http://softobzor.ru
Зайди сюда и почитай про инъекции http://injection.rulezz.ru

И вообще, тему нужно перенести в другой раздел и дать ей другое название...

dinar_007 спасибо за инфу почитаю на досуге а тему можно вообще закрыть

без проблем: