Eso es MSSQL: (por lo que veo a simple vista)
En donde PRimero Tienes que declarar la variable.
Luego le asignas el valor de @s.
para Luego ejecutarlo.
Esa es la gran gracia de las Stacked Querys ";".
Pero podrias ejecutarlo directamente desde
;EXEC(CAST(0X...))
El 0X, es exadecial, pero no es necesario ocuparlo si estas bajo asp, php sin magicquotes. porque comunmente se ocupa para ahorrarse las comillas.
http://palisade.plynt.com/issues/2006Jun/injection-stored-procedures/Eso es Solamente SQL. (T-SQL)
En lo Personal, lo que mas me a costado de estas inyecciones, de exec, es poder hacerlas estables, porque dependeras casi en su totalidad de la consulta original.
SAludos EvilGlobin.