Sí, sí. Entiendo eso pero sigo sin ver, aún permitiendo la inyección, cómo va a poder acceder al sistema estando de por medio la verificación de contraseña.
Es decir, si mi consulta es
Código SQL
[-]
select usuario, password from usuarios
where usuario = :usuario
inyectando los caracteres que mencionas, ciertamente la consulta me va a regresar registros.
Pero si después de ello hago algo como
Código Delphi
[-]
if DataSet['password'] <> EditPassword.Text then
abort;
o mejor aún
Código Delphi
[-]
if DataSet['password'] <> Encrypt(EditPassword.Text) then
abort;
¿entonces de qué sirve haber inyectado caracateres?
// Saludos