Это и есть подзапрос.

Скорее всего результат функции = null.

Тут два варианта:

1. Пользователь БД не имеет прав на чтение/запись файлов.
2. Нельзя прочитать файл находящийся в /www (права на файлы поставленные жестко).

Проверь можешь ли ты прочитать файл /etc/passwd - если ты и его не сможешь прочитать, то у пользователя БД явно нету соотвествующих привилегий - тут уж ничего не поделаешь.

Вот что ещё может помочь тебе во взломе с помощью sql инъекций:

Т.к. ты уже нашел на сайте уязвимый скрипт, то вполне возможно что есть и другие скрипты подверженные sql инъекциям, а именно:

1. SQL инъекция при авторизации в админке, т.е. вместо логина и пароля прописывай:
1' or 1=1/*
Но при этом кавычки не должны фильтроваться.

2. Попробуй найти скрипт который работает с таблицей пользователей (выводит список пользователей или к примеру их email'ы) и в нём найти sql инъекцию и в таком случае ты можешь обойтись без подзапросов, а просто логичискими уточнениями:
php?id=1+and+ascii(substring(username,1,1))>1

Врятли можно найти другие способы, но по крайней мере у тебя есть раскрытый пусть, может если найдешь инклуд или читалку, то может он поможет.

что и требовалось доказать, прав чтения не оказалось, так как опять вернулся нулевой результат. Спасибо, Grey, за интересные идеи, буду в другом направлении копать.

99% Думаю надо юзать конструкцию типо.

1'+and+1=
1')+and+1=

Ты его пост читал? он ведь уже написал что смог определить что версия БД = 3.

Вот процитирую:

Если он смог вывести польностью user(), version(), database(), то значит дело точно не в закрытие кавычки или скобки.