Я думал, как только встречается символ/слово,etc WAF его чекает среди мусора, а вон оно как, просто безымянная переменная+: и он уже съел. И в селекте просто пробел убираем он прилепает, скулька хавает, а WAF не видит. Все больше вникая, в суть данного вида уязвимости, приходишь к выводу,что это защита от протечки с помощью сита.

За ответ спс. Попробую развить данную мысль.