Ваш успех или неудача будет зависеть от ряда факторов.Первое серьезное препятствие, с которым вы сталкиваетесь, заключается в том, был ли ваш «друг» достаточно умным, чтобы использовать PHP для своих входов в базу данных и использовать строку mysql_real_escape_string, которая не позволит вам отправлять любые команды через его текстовые поля и / или другие области ввода.
http://php.net/manual/en/function.mysql-real-escape-string.php
Ваше второе серьезное препятствие после определения того, что mysql_real_escape_string не использовалось, - это определение истинного имени таблицы, которую вы хотите обновить.Лично я никогда не выставляю свои истинные имена баз данных в Интернете, я использую псевдо-имена, которые представляют истинные имена.
Если вам это удалось, вы сможете манипулировать сервером MYSQL любым удобным для вас способом.
Чтобы получить дополнительные полезные советы, перейдите по этой ссылке.Я никогда не использовал ни одну из этих техник, кроме как для проверки своих собственных серверов MYSQL на наличие уязвимостей.
http://old.justinshattuck.com/2007/01/18/mysql-injection-cheat-sheet/