Так сложно сказать, не сталкивался с такой проблемой, надо смотреть по ситуации.
Кинь ссылку сюда или в ПМ посмотрю.
Не понятно по посту ты запрос отсекаешь дальше? Возможно там сложный запрос какой-нибудь и что после твоего инжекта дальше хез.

ссылка:
_http://www.fppc.ca.gov/index.html?id=2+order+by+2

запрос пробовал отсекать так:%00, насчет сложного запроса неуверен т.к. ордер ошибок не выдает, вобще интересно есть ли какой нибудь приоритет ошибок, я про то что допустим если есть две разные ошибки к примеру синтаксическая ошибка и неверное количество полей в юнион селект, то сначала будет вылазить ошибка синтаксиса, а уж после ее устранения ошибка кол-ва полей? или приоритеты линейные? скорее всего конечно второе, но точно незнаю.

__________________
Карфаген должен быть разрушен...

Да очень странное поведение базы, возможно особенности Access 97 =\
Думал мож в users не 2 поля а 1, хотя странно, нашел еще таблицу content из кот. все и тянется в основном запросе, та же фигня при инжекте через union =\

2 [53x]Shadow спс что посмотрел, спасибо за статью, данные я из этой скули получил какие надо с помощью подзапросов...
кстати дополнил бы статью этими фишками (подзапросы, полезные функции и т.д.)

__________________
Карфаген должен быть разрушен...

Возникли 4 вопроса...
1)где в MSSQL по дефолту размещаются таблицы *.mdb? А то пытаюсь получить названия колонок в таблице(саму таблицу сбрутил) при помощи INFORMATION_SCHEMA,а мне выдается c:\windows\system32\inetsrv\INFORMATION_SCHEMA.mdb Could not find file.Если же проверить на существование таблицу customer(она на сервере точно есть), то получаю тот же результат..
2)
при запросах типа http://site.com/sh/category.asp?catid=1+union+select+1,2,3,4,5,6,7,8+ from+customer%00
(таблица,поля валидные;подбирал через ORDER BY) страница отображается,в title страницы стоит 6(т е вроде все ОК),но в конце странице приписывает ошибку:
Microsoft OLE DB Provider for ODBC Drivers error '80004005'

[Microsoft][ODBC Microsoft Access Driver] The number of columns in the two selected tables or queries of a union query do not match.

D:\xxx\xxx\../xxx/functions.asp, line 698
Что это значит?Что я обрубил запр с на переменной 'catid' , а там передается еще что-то?
3)
Как,зная только кол-во полей,имя таблицы и не имея таблицы INFORMATION_SCHEMA,узнать структру этой таблицы?
4)
Какие в MSSQL есть ф-ции,уязвимые к инклюдам,типа LOAD_FILD() и тд,доступ к которым есть по дефолту.Мне( см пример выше,удалось вызвать лишь time() и date().Остальные возврщают ошибку типа too few parametrs.Expected 1.
Все,заранее спасибо тем,кто разжует чайнику эти вопросы.

Во-первых не MSSQL, а MSAccess! Следовательно в базе нет системной таблицы INFORMATION_SCHEMA, по-этому у вас и выпадает ошибка, т.к. такой таблы нет и файла INFORMATION_SCHEMA.mdb соотвественно тоже не существует. Все системные таблицы описаны в статье, читайте внимательнее.
Во-вторых по умолчанию все файлы таблиц MSAccess расположены в ...\inetserv\*.mdb

Да скорее всего не до конца подобрали количество столбцов, либо используется сложная конструкция в запросе.
Стандартными средствами никак, только интуитивно, например на основе названий полей ввода или переменных в различных html формах, ГЕТ/ПОСТ параметров.
Еще раз повторюсь Это не MSSQL! Если все-таки интересует MSSQL читайте статью Кеша:
http://forum.antichat.ru/thread30501.html
там есть встроенные процедуры...
Что каксается MSAccess, то о специльных функциях я писал здесь:
http://forum.antichat.ru/showpost.php?p=478552&postcount=10

Спасибо за ответы.Еще 1 вопрос...
При запросе типа http://xxx.com/xxx/category.asp?catid=-70004+union+select+1,2,3,4,5,password,7,8+from+cus tomer+where+email='johkel3@gmail.com'%00
выводится 8~?? Это есть пароль farmer27p(моя регистрация).Примеры других паролей:
, h©?Y?
x^(??]
$w?? ”’
кодировку в браузере менял,не помогает.Что с этим вообще делать?

Нужен исходник авторизационного скрипта.
Смена кодировке в браузере не поможет нечем.
Скорей всего это хеш. Сам довольно часто встречал,

Так же стоит не забывать что базы храняться в mdb тоесть и их идеальный просмотр может совершаться только через MicroSoft Access.

Лично моя теория что есть какая то внутряння кодировка именно для колонок (password). Потаму что встречал базы где половина открытых а половину в такой вот херне. Вообще очень похоже на бинарник.

Что делать, если при UNION возникает такая ошибка:
количество полей я подобрал правильно.
Инъекция в форме авторизации, но обойти не получается, так как в оригинальном запросе из таблицы выбирается вся информация только по логину (SELECT * FROM users WHERE username=[SQL]), а затем полученный из БД пароль сравнивается с тем, который я ввел.
Подзапросы получаются, но не могу определить поле с паролем (название таблицы и поле с логином я узнал). Определить с помощью ' Group by id%00 не выходит, так как в запросе выбираются все данные, т.е. *
Вытащил логины, но дальше не знаю, что делать.
Доступа к MSysObjects нет.