если мой get-запрос содержит знак плюса, тогда ошибка такая

Server Error

404 - File or directory not found.

The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.

Причем неважно в каком месте get-запроса находится знак плюса - даже внутри кавычек селекта

http://hostname/path/param1/(select('1+1'))/param3/param4/

вываливается вышеуказанная ошибка

хотя если знак плюса заменить на другой - будет всё ОК

http://hostname/path/param1/(select('1%1'))/param3/param4/

с процентами с любыми не хочет работать

т.е. get-запрос

http://hostname/path/param1/(select%20'qwerty'))/param3/param4/

приводит к http-ошибке 500

квадратные скобки [] в GET-запросе браузер автоматически переделывает в %5B и %5D

и опять-же, запрос с процентами не "кушает" и выдаёт 500-ую ошибку

скачал себе с официального сайта ms-sql 2012 ( как у жертвы )

целый час качалось

теперь уже час устанавливается

буду тестировать оригинальные запросы типа

select%20'qwerty'

что-то мне подсказывает, что такие запросы не будут выполняться....

установил-таки MS-SQL 2012

запрос

select%20'qwerty'

вызвал ошибку

Сообщение 102, уровень 15, состояние 1, строка 1

Неправильный синтаксис около конструкции "20".

и все другие запросы с % в MSSQL 2012 тоже не работают:

select%01'qwerty'

select%02'qwerty'

select%03'qwerty'

select%04'qwerty'

...

select%20'qwerty'

запрос

select(table_name)from INFORMATION_SCHEMA.TABLES

в MSSQL 2012 отлично работает

но запросы

select(table_name)from (INFORMATION_SCHEMA.TABLES)

select(table_name)from(INFORMATION_SCHEMA.TABLES)

в MSSQL 2012 вызывают ошибку

Сообщение 102, уровень 15, состояние 1, строка 1

Неправильный синтаксис около конструкции ")".