セキュリティ分野では有名な方の一人で、自分にとっては目標というかあこがれでもある徳丸浩さんの日記のエントリに、SQLインジェクション検査についてのエントリがあった(URL:http://d.hatena.ne.jp/ockeghem/20091105/p1) この記事は、T.Teradaさんのはてなエントリ(URL:http://d.hatena.ne.jp/teracc/20091105#1257430874)からたどったものです。
このエントリでは、SQLインジェクションを検査する場合に、サーバにあまり負荷をかけず、かつデータを破壊することなく（これは必須条件です）、できるだけ確実に検査をする方法について言及しています。概要としては、それぞれのDBサーバが提供するSQLの命令の中で、一定時間待ち状態にする命令を利用し、クエリを実行してから応答が返るまでの時間をみることで、SQLインジェクションの可能性を推測しゆというものです。詳細は、エントリを参照していただいたほうがよいと思います。
で、この中で「金床本」(URL:http://www.amazon.co.jp/%E3%82%A6%E3%82%A7%E3%83%96%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E9%87%91%E5%BA%8A/dp/4887189400)についての言及があったんですが、この本、そういえばずっと前にかったのに、まだほとんど読めていません。うーん。