Si tengo un sitio vulnerable a sql injection donde el error de validación se produce dentro de una sentencia SELECT, ¿sólo puedo utilizar un comando que empiece por UNION SELECT? ¿No podría por ejemplo poner otro tipo de comandos como editar o eliminar bases de datos?. Si es así, cómo lo podría hacer?

O sea mi pregunta es si dentro de una sentencia SELECT puedo incluir algún otro tipo de comando que no tenga relación con éste y que sea ejecutado.

He intentado separar las sentencias con punto y coma ; pero sólo he obtenido errores...

Gracias de antemano...


PS: El sitio ES vulnerable