Je hebt een klacht over de onderstaande posting:
Tussen de ' betekend dat het een waarde is, daar buiten is het syntax. Zonder de eerste ' (zoals in je eerste niet-werkende voorbeeld) zal je hele input als waarde gezien worden. De AND wordt dan dus niet als query/syntax gezien. In je tweede niet-werkende voorbeeld lijkt het mij dat je ook een syntax fout maakt doordat er twee ' achter elkaar staan. In je twee werkende voorbeelden sluit je eerst de waarde 1 af (1'), voeg je query parameters toe ( AND 1='2) en sluit de oorspronkelijke query jou input weer af ('). Dan klopt de syntax waardoor de aanval werkt.
Beschrijf je klacht (Optioneel):