Buenas gente,

Tengo magic_quotes_gpc en ON y en el script tengo una variable sin quotear, es decir, vulnerable a un SQL injection. Existe alguna forma de bypassear la proteccion. Por otro lado estoy haciendo un SELECT INTO DUMPFILE y decidi probar con CHAR para ver si podia bypassear magic_quotes_gpc:

SELECT CHAR(124,122,110,100) INTO DUMPFILE 'dump.txt'

Como pueden ver, CHAR lo pude aplicar en parte del statement (el source de arriba funciona perfectamente), pero en el caso del argumento que le pasa el filename, es decir, para 'dump.txt' no ha funcionado. Queria saber si existe alguna solucion a esto. Tengan en cuenta que magic_quotes_gpc esta en ON, pero la variable que uso para hacer este injection esta sin quotear.

Muchas gracias.