¿Debería WAF o cualquier método de protección, bloquear SQLi en las URL? (por ejemplo, GET / test / url'or 1 = 1--)
Sí. La última versión de ModSecurity, 2.6.0, permite deshabilitar argumentos específicos por regla. Esto permitirá un ajuste más fácil de la aplicación para eliminar falsos positivos (y como no es solo el URI por regla, habrá menos, aunque sea algunos, falsos negativos).
Notarás que algunas aplicaciones MVC / MVP se apoyan en el paradigma controlador-acción-id, que no usa parámetros (excepto en el URI como lo describiste).
Lea otras preguntas en las etiquetas web-application appsec sql-injection countermeasure