Las consultas a continuación muestran la inyección de SQL en las aplicaciones para MySQL. ¿Hay una manera de hacer una prueba de concepto o de otra manera cómo pueden ser explotados?
INSERT INTO cscart_sessions (session_id, expiry) values('6432e5ecf6c81730aa70c2b05415fe6d OR ' '','1468236649')
SELECT session_id FROM cscart_sessions WHERE session_id='6432e5ecf6c81730aa70c2b05415fe6d' AND expiry>'1468229900'
Si está usando directamente SesssionId en su consulta, sin escapar de los caracteres especiales de SQL, entonces SÍ las consultas son vulnerables a la inyección de SQL.
Por ejemplo, Alguien podría enviar una solicitud al servidor con la siguiente cookie:
csid=a'; DROP TABLE cscart_sessions;
Y su consulta SELECT se ejecutará para eliminar la tabla.
O una cookie como esta:
csid=a' or 1=1 or '' = '
seleccionará todo en la tabla.
Dependiendo de si el código que realiza estas consultas es o no un desinfectado adecuado de las entradas, puede o no tener una vulnerabilidad.
Otro factor sería si la construcción de las consultas está parametrizada o simplemente utiliza la concatenación.
Como los comentaristas han señalado, no hay forma de saber con seguridad en función de la información que hayas proporcionado.
Lea otras preguntas en las etiquetas sql-injection exploit php mysql