Dovrebbe WAF o qualsiasi metodo di protezione, bloccare SQLi su URL? (es. GET / test / url'or 1 = 1 -)
Sì. L'ultima versione di ModSecurity, 2.6.0, consente di disabilitare argomenti specifici in base alla regola. Ciò consentirà una sintonizzazione più semplice all'app per la rimozione dei falsi positivi (e poiché non è solo l'intero URI per regola ci saranno meno, anche se alcuni, falsi negativi).
Noterai che alcune app MVC / MVP si appoggiano al paradigma controller-action-id, che non usa parametri (eccetto l'URI come descrivi).
Leggi altre domande sui tag sql-injection web-application appsec countermeasure