Hola ,Estoy con el tema del SQLInjection y lo que quiero es hacer un "update" en lugar de un
Select para cambiar el pass(ya que este esta cifrado) , la tabla se llama "usuarios"
contiene id ,user ,password , por logica la pag es vulnerable a SQLi

muestreme como seria la consulta para hacer el update para cambiar el pass

http://localhost/BlinSQLInjection/blindmysql.php?id=-1;UPDATE usuarios SET password = '4' WHERE (id=1); y me sale esto

Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\BlinSQLInjection\blindmysql.php on line 11

esto no iba en la sección de bugs a nivel web?

BlackHKR, en mysql no se pueden concatenar querys con ; como se hace en mssql, por eso no puedes hacer un update o insert dentro de un select. Lo que si puedes hacer es un select dentro de otro concatenando en funciones, parentesis o "union" pero no puedes updatear.

Cuando dice:

es porque mysql_fetch_row() no encontró valores para procesar ya que la query falló.

Te recomiendo practicar en algún phpmyadmin, le lanzas un echo a la query y lo tomas y luego lo pegas ene l phpmyadmin y ves porque te va dando errores y así hasta que logres crear una query que funcione bien.