Hola.
Pues verán, tengo una consulta como ésta:

UPDATE tabla1 SET contenido="uno" WHERE id='28'

Lo que está en comillas rojas, o sea el contenido, es lo que se puede obtener de un texfield. Y bueno, se puede hacer inyecciones escribiendo algo como

uno',titulo='titulo modificado

quedando la consulta así:

UPDATE tabla1 SET contenido="uno'titulo='titulo odificado" WHERE id='28'

Como ven la inyección es muy sencilla, lo que no logro hacer es que afecte a otras columnas eliminando la cláusula WHERE y/o agregando la mía; intenté tontamente hacer esto:

uno',titulo='titulo modificado WHERE id>'1

pero es obvio que la consulta queda mal escrita:

UPDATE tabla1 SET contenido="uno'titulo='titulo odificado WHERE id>'1" WHERE id='28'

He intentado algunas variaciones, incluso poniendo líneas de comentarios -- pero no funca

¿Alguien sabe alguna solución?

conozco muy poco de sql injection, pero creo que sería algo así:

Con ésto, conseguirías una consulta sql algo así:
Que sí es una consulta sql válida

Iniciado por Cuarteto de Nos Casi nunca veo la foto Tuya en mi celular Sigue ahí por la pereza Que me da apretar "borrar" -Enamorado Tuyo-

Gracias ajr784 por contestar, pero hay un pequeño gran problema; resulta que aún así quedaría una comilla ' después de las -- lo que si es un error en la sintaxis. Mi pregunta es si hay alguna forma de omitir ese carácter (') o si de modificar la consulta a manera que no estorbe :/

Me refiero, a que como tu dices, la consulta quedaría así:


UPDATE tabla1 SET contenido='uno',titulo='titulo modificado' Where id>'1' -- ' WHERE id='28'

y como vez hay una comilla ' flotando que por alguna razón aun que esté en los comentarios si manda error de sintaxis.