задам тут свой вопрос.

таблица NAMES содержит поля:
---
EXP_MO
EXP_YR
CARD_NUM
---

EXP_MO и EXP_YR успешно выводятся запросом:
1%20or%201=(select+TOP+1+cast(EXP_MO+as+nvarchar)% 2Bchar(97)+FROM+NAMES)--

а вот CARD_NUM при таком же запросе просто перезагружает страницу без ошибки.
почему? могут быть в таблицах защищённые поля, которые не выводятся?

с полями NM_USERID и NM_PASSWORD такая же фигня происходит. хотя другие поля с именами, адресами и прочим выводятся без проблем.