Hola, iba hacer una búsqueda de hoteles en una web y descrubri que el formulario de búsqueda de hoteles es vulnerable a la inyección sql, la cuestión es que la bbdd esta sobre access y ahí es donde tengo el problema, porque según he leído access no posee comentarios, así que no puedo intercalar código sql, ahora les expongo como esta cosa.

La consulta se hace de la siguiente manera.

Hotel LIKE '%$input%'

Suponiendo que el $input es la entrada desde el formulario directamente sin filtrar, ¿como puedo hacer desaparecer %'? ya que para cerrar el like si que puedo pero si hago un having o una subconsulta el %' me toca los ...
He probado por si las moscas pero sin exito, //, /*, #, --, null y nada no consigo cortar ahí la sentencia sql, ¿alguien sabría como?

Saludos.

Pero ahí falta la clausula from para saber de que tabla hay que coger los datos, por eso quería hacer un having para forzar el error y que me diera el nombre de la tabla.

EDITO:
Ya he descubierto el nombre de la tabla, solo era un poco de deducción

Ok, pero la bbdd esta en access, y no en mysql, de todas formas ahora estoy tratando de encontrar el número de columnas, porque me dice que en la unión no coincide el número de columnas, porque viendo los datos que se muestran en la web al hacer una búsqueda, calculo que la tabla tiene 26 campos, pero

' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from Tabla where Hotel like '

Pero sigue dando error así que me falta encontrar el numero de columnas.