Hola, iba hacer una búsqueda de hoteles en una web y descrubri que el formulario de búsqueda de hoteles es vulnerable a la inyección sql, la cuestión es que la bbdd esta sobre access y ahí es donde tengo el problema, porque según he leído access no posee comentarios, así que no puedo intercalar código sql, ahora les expongo como esta cosa.
La consulta se hace de la siguiente manera.
Hotel LIKE '%$input%'
Suponiendo que el $input es la entrada desde el formulario directamente sin filtrar, ¿como puedo hacer desaparecer %'? ya que para cerrar el like si que puedo pero si hago un having o una subconsulta el %' me toca los ...
He probado por si las moscas pero sin exito, //, /*, #, --, null y nada no consigo cortar ahí la sentencia sql, ¿alguien sabría como?
Saludos.