1) Не "concat_ws(login,0x3a,password)", а "concat_ws(0x3a,login,password)" или "concat(login,0x3a,password)"

Попробуй limit добавить.

2) SQL injection полный FAQ

я вертел по всякому и с +limit+0,1 по разному пробывал! Но данные ячеек не появлялись! Может другие варианты есть?

этот фак я читал, и как я понил он ближе к 5-тым версиям mysql

может база не та

или unhex(hex())

Можно по подробней? Точней пример запроса к бд

Так вывод еще лучше:

3aHyga, кинь ссылку сюда или в личку

Тут есть загвоздка! Я все делал на дедики и дедик в это время вырубился, я не знаю что там было может свет моргнул, или еще что данные сылки я утерял так как логи не сохранялись в мазиле а вспомнить не могу, а вобще это был какойто интернет магазин но не могу вспомнить сылку

вот могу еще один шоп дать там есть вывод на страницу и тд но не чего интересного там нету

_http://e-perfume.com.ar/verproducto.php?id=-180'

Только что нашол интернет магазин! в катором я на 100% уверен хроняться даные о картах, так как покупка проходит имено через этот магазин все данные вбиваются в него, на другие сайты не кидает, но там есть какойто прикол! Допустим я делаю запрос

то сайт показывает информацыю о версии sql // - 5.0.51a-3ubuntu5

если же я делаю любой другой запрос меня перегидывает на главную страницу. Так как я еще совсем новечек и не знаю всех прелестей sql injecta кто согласится мне помоч или сам проведет sql inject конечно все 50 на 50 я согласен даже что вам 60% а мне 40 так как всю работу будите делать вы то отпишите в асю я дам данные сайта

icq 144-558-923

Либо ты делаешь неправильный запрос, либо наверняка обращаешься к information_schema и её таблицам, а на них может стоить фильтр. Попробуй выяснить в каком случае тебя перекидывает.

ps. а вообще что-то более конкретное советовать можно только увидев сайт.