[HACK] SQL Injection y Access

[falcifer]

Tengo mas dudas sobre SQL injection.
El problema se plantea ahora cuando, en principio, la pantalla de login
hace las validaciones oportunas y no es susceptible de la inyeccion sql,
pero el resto de pantallas (consultas varias a un catalogo de articulos)
fallan en cuanto le metes una comilla. Mediante la tecnica de la
informacion de error de odbc he consegido saber el nombre de la tabla de
usuarios y el nombre de unos cuantos campos de la BD.

Bien, la cuestion es ¿como podria hacer para conseguir una entrada en el
sistema? La primera respuesta seria insertando o modificando la tabla de
usuarios para conseguir un usuario y password conocidos: es decir
añadiendo un punto y coma al parametro sql para poner un insert into ...
o un update ... El problema es que la BD access devuelve un error
diciendo de que no acepta bloques de comandos SQL


error '80040e14' 

[Microsoft][Controlador ODBC Microsoft Access] Se encontraron caracteres
después del final de la instrucción SQL. 


/visornew.asp, line 10

¿a alguien se le ocurre otra solucion?


-- 
falcifer <falcifer2001 at yahoo.es>