Hola, tengo un problema, me tope con un injection sql, y lo que pasa es que logro que funcione la petición con la cadena: " ' and 1=1--", luego pruebo con: " ' order by 8--", y funciona todo ok, (tiene 8 columnas, ya que al probar: " ' order by 9 -- ", no me resulta), y finalmente con el union: " ' union select 1,2,3,4,5,6,7,8 --", pero con esto ya no funca, parece que me esta filtrando los comas, o quizás el "union", debo despejarme las dudas con los comas.. saben alguna forma de poder sacarle los datos si usar comas o de otra forma????

Se Agradece!!!