Krist_ALL пишет:index.php?id=-1+union+select+1,1,1+order+by+8
а тепреь давай посмотрим что за запрос в итоге выйдет:
select * from table where id=1 1,1,1 order by 8
или
select * from table where id='1 1,1,1 order by 8'
если второй вариант, т.е. id - строка, то еще пол беды а вот в случае с первым, у тебя полезут ошибки... в которых ты выдашь свои секретные названия таблиц...
(Добавление)
хотя, конечно вывод ошибок зависит от настроек сарвера... но никогда нельзя предусмотреть все...
ИМХО: лучше делать проверку анных в данном случае в поле id убирать все НЕ ЦИФРЫ например так $id=preg_replace("/\D/","",$id);
тогда в любом случае запрос выполниться без ошибок, но может с пустым результатом, и никаких лишних данных не выдаст!