такс.. походу наводка не совсем правильная. concat реализована только с MS SQL 2012. думаю такое в настоящее время редко найдешь. у меня банальная версия:

вопрос актуален.

если выводит такую ошибку

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC Microsoft Access Driver] Invalid SQL statement; expected 'DELETE', 'INSERT', 'PROCEDURE', 'SELECT', or 'UPDATE'.

/shop/en/products.asp, line 32

то sql инекция осуществима?

Еще раз про подбор колонок, старая фича

где n номер колонки

Как альтернатива + и concat, в некоторой степени можно использовать STUFF

1 -- позиция для вставки

0 -- определяет, какое количество символов следует удалить после вставки

C 2017 версии появилась concat_ws -- немного удобства для нас

Так же с 2017 версии появился полноценный group_concat - привычно и удобно.