имеется сайт с sql injection. если у пользователся нет file_priv и адрес админки невозможно найти, то вообще бесполезно что-то пытаться сделать?

к примеру хотел залишь шелл, но ведь нет прав на файлы у юзверя
тоесть load_file()
into dumpfile отказываются работать

у юзера есть права только на одну базу данных. к mysql.user доступа не имеет