Никто не думал на эту тему?

Имеем в обработке, к примеру, следующий код:
ВвестиСтроку(Номер, "Введите номер документа");
ТекстЗапроса = "SELECT * FROM _1SJOURN WHERE DOCNO LIKE '%" + Номер + "%'";

Имеем в документации по ВыполнитьИнструкцию следующий текст:
Если запрос содержит несколько SQL инструкций (multistatement batch), результаты возвращаются только от первой инструкции. Однако, на драйвер уходит весь текст запроса (По спецификации ODBC, будут ли выполнены остальные инструкции в пакете - зависит от драйвера. Для драйвера SQL Server они выполняются), остальные результаты игнорируются.

Итак, вводим при запросе строки "999999'    DELETE FROM _1SJOURN WHERE DOCNO LIKE '%"  (Без двойных кавычек...)
На выходе мы уже имеем след.запрос:

SELECT * FROM _1SJOURN WHERE DOCNO LIKE '%999999'    DELETE FROM _1SJOURN WHERE DOCNO LIKE '%%'
 

И упсс...


sql injection широко распостранен при хаке сайтов...

Согласен, а если крайний случай, надо все таки дать возможномть ввести сиволов 50...

Можно ли отключить возможность выполнять вторую часть запроса?
Для меня это неактуально, интересует только теория...