Hallo,

Ja, das ist eine weitere Möglichkeit einer SQL-Injection.

SELECT name FROM tabelle /* where password=xxxx;
PostgreSQL würde das Statement als fehlerhaft werten und nichts liefern.
warum sollte es das tun, das ist syntaktisch ein komplett korrektes Statement. Es liefert alle Datensätze der Tabelle zurück.

Ich probierte es zwar noch nicht aus, aber ich las, dass PostgreSQL mit einem fehlerhaften Statement abbrechen würde, wenn ein Kommentar geöffnet, aber nicht geschlossen wird.

Demnach dürfte unter PostgreSQL so etwas nicht funktionieren.
SELECT name FROM tabelle /* where password=xxxx;

Markus