Есть несколько инъекций в mssql, где фильтруются символы "," и ";" Инъекции в целочисленном значении, результаты запроса id=10 и запроса id=0xA одинаковы. Можно ли как-нибудь с помощью 0x... или другими способами обойти фильтрацию?

Просто не используй их и всё :), не всегда же Select нужен.

http://xtoolz.ru/files/char.php

<title>Encoding to char by Goudini 2006</title>
<style>
body {background-color:#333333;font-family:Verdana, sans-serif; font-size:12px; color:#C0C0C0;}
</style>
<form action="<?=$_SERVER["SCRIPT_NAME"]?>" method="post">
<b>String</b> : <input type=text name="input" value="<?=htmlspecialchars(@$input)?>">
<input type=submit value="to chr">
</form>
<?
error_reporting(0);
$input=stripslashes($_POST["input"]);
if ($input!=""){
echo "<b>PHP:</b> <tt>";
for ($i=0;$i<strlen($input);$i++) {
if ((strlen($input) - $i) == 1) echo "chr(".ord($input[$i]).")</tt>";
else echo "chr(".ord($input[$i]).").";
}
echo "<br>\n<b>MySQL:</b> <tt>char(";
for ($i=0;$i<strlen($input);$i++) {
if ((strlen($input) - $i) == 1) echo ord($input[$i]);
else echo ord($input[$i]).",";
} echo ")</tt>";
} else echo "<b>Goudini</b> (c) 2006";
?>
чё-то типо того)

Возможно замени ; и ' на соответствующий hex