Вы сказали WAF?ModSecurity? -- Не смешите)

Первоисточиник указал одним постом выше.

 

я про доки MySQL говорил

 

А какие ж тут доки?Строковое представление символов в MySQL запросе с помощью escape символа.
Подробнее можно тут почитать:

Code:

http://www.mysql.ru/docs/man/String_syntax.html

 

по поводу information_schema 9.e.tables = information_schema.tables

заметил что и такой запрос отрабатывает(пробел между именем бд и таблицей), mysql 5.6

Code:

root@000> select 777 from information_schema .tables limit 1;
+-----+
| 777 |
+-----+
| 777 |
+-----+
1 row in set (0.03 sec)

 

я вот об этом. нигде не расписано, что это и откуда

 

да, там много вариантов, НО КРУТО ЗНАТЬ ЧТО ЭТО ТАКОЕ

 

да признаюсь я не понимаю лексикона мускула)
ходят слухи что уже никто его толком не знает

 

подниму тему т.к актуально. Автор обходит Sucuri PL 3 ,CF тариф PRO. Полезно как вектор для размышления
https://www.secjuice.com/web-application-firewall-waf-evasion/
https://medium.com/secjuice/waf-evasion-techniques-718026d693d8
https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0
Bypass a WAF by Positive Technologyhttps://www.ptsecurity.com/upload/corporate/ww-en/download/PT-devteev-CC-WAF-ENG.pdf

 

Дополню:
How To Exploit PHP Remotely To Bypass Filters & WAF Rules

 

Writeup on bypassing ModSecurity WAF for SQLi

https://blog.h3xstream.com/2021/10/bypassing-modsecurity-waf.html

 

0xInfection/Awesome-WAF

https://repo.telematika.org/project/0xinfection_awesome-waf/