Такая проблемка, в MSSQL обычная инъекция /rating.asp?sender=1'
sender при вводе фильтруется на пробел, плюс и дефис. Пробел заменил на таб %09, не знаю что с дефисом сделать. А без него не закомментить ненужную часть запроса,
там остаётся: ' order by blablabla
Другой комент /* выдаёт ошибку, # тоже не коментит =\

Например
вызывает ошибку

Microsoft OLE DB Provider for SQL Server ошибка '80040e14'
Unclosed quotation mark after the character string ' group by sender'.

т.е. строка получается:
Можно это как-то обойти?