(" INSERT INTO log SET ip = '100.244.096', username = '\' ") Что можно сделать? МОГУ ВВОДИТЬ ТОЛЬКО В username КАВЫЧКА ФИЛЬТРУЕТСЯ СМОГУ СКИНУТЬ В ЛС )
Смею предположить что сделать ничего не получится. Разве что можно попробовать передать параметр "X-Forwarded-For:1.1.1.1qwerty" в запросе, и если запрос примет вид "INSERT INTO log SET ip = '1.1.1.1qwerty', username = '\'", то ip вычисляется криво и под контролем оказываются 2 поля, а значит можно крутить как фрагментированную sqli
Проста у меня между параметрами IP и USERNAME есть и MESAGE которыи всегда пустои (" INSERT INTO log SET ip = '\',mesage = '', username = '\' ") СМОГУ ЗАПЕХНУТЬ В IP \ ДАЛЬШЕ КАК?
Если это веб, то попробуй отправить заголовок X-Forwarded-For, или аналогичный ему, вдруг айпишник клиента каким-то неведомым образом оттуда тоже забирается.
