WAFまたはその他の保護方法は、URLで実行されたSQLiをブロックする必要がありますか(例:GET/test/url 'または1 = 1--)
はい。 ModSecurityの最新バージョン2.6.0では、特定の引数をルールごとに無効にすることができます。これにより、誤検知を除去するためのアプリの調整が容易になります(ルールごとのURI全体だけではないため、誤検知は少なくなりますが、まだいくつかあります)。
一部のMVC/MVPアプリは、パラメーターを使用しない(説明したようなURIを除いて)controller-action-idパラダイムに依存しています。