тут надо уточнить, если параметры пришедшие из вне вставляються в гверю без кавычек то
то есть например

$sql="SELECT `password` FROM user where id =".mysql_real_escape_string($_GET['user'])."LIMIT 1";
все равно уязвим.

159932, а что ты ржешь? Я не думал что у него стр идет гетом или постом,а думал что он тупо может ею управлять =\

hi

sorry for my language

what to do with this

Microsoft JET Database Engine error '80040e10'

No value given for one or more required parameters.

/store/ancillary.asp, line 17

thanx

Нулл байт экранируется, включена маджик квот.

AHMED HASSAN Официальный язык форума Русский, будь добр, пользуйся онлайн переводчиками (хотя-бы), или задавай вопросы в английском разделе.

Official language a forum Russian, if you please, use online translators , or ask questions in English section.

По поводу вопроса: это Access
http://forum.antichat.ru/thread50550.html

даже если имеется возможность назначить собственное значение для $str, это никак не позволит выполнить код в file_get_contents(), как было предложено тобой.
@AkyHa_MaTaTa
без кавычек

__________________
<? Raz0r.name — блог о web-безопасности

подскажите с дальнейшими действиями,я запутался!Каким образом можно узнать полный путь к файлу arxnews.shtml
Хоть что-нибудь подскажите,пожалуйста!

4.0.24_Debian-10sarge2-log:admstr:adminstr@localhost

А дальше таблици подбирай - ...9,10+from+имятаблици/*

а зачеим тебе путь? там лоад файл запрещен

только подбирать названия?Ничего другого нельзя сделать?
То есть нужно надеятся на удачу?или есть какой-нибудь другой способ