тсареешь =)) в гугле уже дааавно это всё пофиксили, терь этим не воспользуешься... это раз...
по поводу шела.. ты тооочно уверен, что возможно Sql-инъекция?
+ у тя ошибка в самом шеле...
+ он тебе НЕ выдаст то, что ты хочешь.. хакед бай Вася Пупкин... так как ты задаёшь ему параметр пвд.. он те теоретически должен выдать путь к тому, где находится данная страница, на которой ты выполняешь шелл-команды...

вроде всё так... могу ошибатся


ЗЫ: haCked пишется с буквой "с" =)