PHP-профи, помогите по SQL Injection

Вам нужно экранировать переменный которые вы принимаете.

Конкретно к type у вас в примере, нужно найти где она используется и привести к int (целым числам) можно функцией intval или поставить перед переменной (int).

Сам запрос покажите.

Спасибо всем ответившим.

Показать запрос к БД я никак не могу, я же его никак не "вытащу", скрипт зашифрован, переписать его я следовательно тоже не могу.

Я бы хотел узнать, опасная это уязвимость или нет, и если да - то тогда обоснованно предъявить автору скрипта претензии, чтобы он устранил уязвимости.

Что тут может злоумышленник сделать и может ли вообще?

Нужно выше по коду прицепить php'ку где фильтровать переменные area и type, тем же интвалом

Того эффекта что Вы показали - быть не должно в любом случае. Это ошибки допущенные программистом. Достаточно ли они серьезны что бы привести к взлому - бабушка надвое сказала, как повезет. Но если купили скрипт недавно, то как минимум нормой поведения для программиста будет - исправить их бесплатно. В крайнем случае dezender Вам в руки и какой-нибудь другой программист, zend вполне себе раскодируется.

Я думаю что можно удалить таблицу например, если правильно подобрать. Вобшем в любом случае предъявляйте автору=)

ТС, отсутствие фильтрации это уже совсем не есть гуд. Такие уязвимости даже школьник с Ачата найдет, неговоря уже о спец.софте, который щас юзают продвинутые инъекционисты.

Очень похоже, что включены magic_quotes одновременно с "ручным" экранированием. Если так - попробуйте их отключить и запустить проверку уязвимостей повторно.

Если судить по коду ошибок, то там даже банального преобразования типов нет, число пихается как строка, в надежде, что будет число.

Так что про отсутствие уязвимостей я бы сильно сомневался.

Чей изощрённый ум не подавил вывод нотисов, варнингов и ошибок для продакшена?