2Momiji

1. Не могу сказать точно, но думаю что на серваке стоит mod_security, если это так, то имхо бесполезно
2. почитай про Blind sql инъекции, на ачате полно статей и ответов на этот вопрос

2PunkAss

имхо фигню делаешь, кроме того что в mssql возможно разделение запросов, ты union select неправильно используешь, да и вобще, если очень надо кидай сюда ссыль посмотрим

__________________
Карфаген должен быть разрушен...