ситуация такова:

на вебке есть личный кабинет - захожу. появляются куки - пытаюсь сделать через них sql-inj. в куках 3 записи: user_name, user_pass и соответственно PHPSESSID (в счёт не берём). пароль и пасс хранятся в куки в открытом виде (т.е не зашифрованном).

ок. дописываю к логину кавычку.... обновляю - всё как и было - отлично, хотя бы не выкинуло. после кавычки пишу запрос: ORDER BY 55 (выглядит примерно так: admin'ORDER BY 55). обновляю - пишет "ошибка" и вылетает с кабинета.. хм..) дописываю ";" запрос: (admin';ORDER BY 55) - в итоге не вылетает из личного кабинета, но и результата запроса нету. делал разные запросы (SELECT, DELETE, UPDATE, etc..) - не один не работал (прост сначало подумал что вывод инфы и ошибок отключён). так вот...

что можно сделать ?)

может надо так:

попробовал.

По хорошему, задаться вопросом "А есть ли тут вообще скуля" надо было еще во время подстановки кавычки. Потому что если часть запроса к базе выглядит примерно так:

То добавление кавычки к имени должно вызвать ошибку, но тут ее нет.

Тут телепатов нет.

Попробуй так:

admin' or id=1+--+

Если внимательно прочитать первый пост, можно заметить, что при подстановке знака ";" после кавычки и составления запроса после него всё ОК, однако без этого знака вылетает ошибка.

а я просто так написал что возможно отключён вывод ошибок в mysql ? мы ведь этого наверняка знать не можем, потому что тут

пока не смог найти применение...

Скинь ссылку в ПМ, глянем