Ждал замечаний и вопросов от тебя =)
Ну начнем с того что это синтаксис во всех TSQL подобных языках.
полностью согласен.
Символ двоеточие во всях языках SQL означает конец запроса, и его можно применять в MS access при устолвии что ижектируемая переменная последяя, если же после нее идет запрос например "where id=$inject order by $id" то примение кавычек невозможно.
Даже если инжектируемая переменная последняя, используемый стандартный драйвер ODBC непосредственно при интерфейсе на VBS или драйвер Native Jet ISAM Driver из СУБД Jet DataBase не позволяют
после нее пользуясь символом ";" вставить еще один запрос!
вот пример, можешь потестить, здесь переменная последняя в запросе, дальше ничего нет
Код:
http://www.libertaegiustizia.it/blog_generale/messaggi02.asp?id=1
Насчет коментариев, на 99% уверен что коментарии работают "--" и "{", как появиться время поставлю потестю.
Синтаксис ANSI SQL/92 реализованный в MS Access не поддерживает не один вид комментариев =)
И собсвенно вопрос [53x]Shadow
Вы имеете ввиду JetDatabase или MS Access ODBE ибо это разные бещи...
Это разные вещи, но построены на использовании MS Access, соотвественно название статьи дает ответ на ваш вопрос - рассматриваю оба варианта т.к. в основном упор инъекции делается на реализацию стандарта SQL в MS Access.
Хочу заметить, что СУБД Jet DataBase в ранних версиях использовала драйвер ODBC Microsoft Access Driver.
не катит, стандартная ошибка:
Код:
Query input must contain at least one table or query
Соответственно любой запрос должен осуществляться из какой-либо таблы или запроса(здесь рекурсия =\).