Ура!!Работает!!!Спасибо!

19 уровень. Sql-запрос
Как мне узнать имена таблиц, если даже не появляется ни каких ошибок

Я не понял, пароль на 4-ом это марка телефона с xss-уязвимостью , я спросил яндекса он мне выдал марку , но она не подходит.
p.s как подделывать referrer я понял.

Ну раз не подходит - значит не та марка. Тут и спрашивать никого не надо, просто головой подумай... или почитай прайс лист какой-нибудь по сот. телефонам, сразу в глаза бросится Xss-Уязвимость =)

Посмотрел листов 5 , ничего общего с xss не нашёл...

если бы ты прочел этот топик.. то уже неоднократно видел бы мою (и не только) фразу: XSS кроется в названии телефона.. почитайте о xss.. не всё так очевидно ведь.

19 уровень
Сколько именно должно быть запросов?

лишний вопрос. Столько, сколько нужно чтобы вытащить логин и пароль.

Будь внимателен. Ты ведь обратил внимание, что в условии задания указано, какая СУБД используется?
Ты - я уверен - уже прочитал весь этот форум в поиске ответа на свои вопросы, а также не примянул возможностью почитать мануалы по инъекциям конкретно на ЭТУ субд...

Раз ты такой молодец, и логика у тебя в голове имеется, то ты уже и без моей подсказки наметил план действий:
1) узнаем название... хм... местоположения данных
2) собственно... дальше просто

p.s. Все нужные данные ты получишь в сообщениях об ошибках. Они появляются, но очень редко - и только при конкретно набранных запросах.
p.p.s. Я дольше всего сидел именно на 19м уровне. Потому что забыл про одну кавычку )). Не повторяй моих ошибок, удачи!