Вопрос знатокам в области SQL-инъекций.

Что можно поиметь полезного ??? если на сайте включен отчет об ошибках MySQL и с помощью него (отчета об ошибках) известно , что сайт из POST-запроса фильтрует (тупо убирает) ТОЛЬКО одинарные и двойные кавычки кавычки, остальные символы не фильтрует и передаёт в SQL-запрос как есть.

В частности не фильтрует обратный слэш ( \ ; ascii-код = 92 = 0x5C ) , с помощью которого (+ отчет об ошибках) и выяснено , какие именно символы сервис фильтрует из POST-запроса.

sql-запрос вида

SELECT `id`,`varAAA`,`varBBB`,`varCCC`,`varDDD` FROM `tableXXX` WHERE `varXXX`='postvalue1' AND `id`=postvalue2

postvalue2 всегда приводится к типу integer

hex-фишки типа 0х11 - не работают

сайт режет всю часть строки после нецифрового символа

т.е. postvalue2 , равное 123b456 преобразовывает для sql-запроса в 123

P.S.

за удачную инъекцию - щедрое вознаграждение