Höchst brauchbar: Das SQL injection cheat sheet. Welcher Kniff funktioniert mit welcher Datenbank? Welcher DB-Hersteller benutzt welche Zeichen für Kommentare? Auf dem Cheat Sheet findet man diese Informationen auf einen Blick.
Wer nicht von Hand minutiös suchen und probieren will, für den hat Darknet ein SQL injection brute force tool vorgestellt - allerdings ist dieses auf MS-SQL und Oracle spezialisiert. Letzteres ist eine weitere "Nagelprobe" für eigene Webanwendungen, die eine der beiden Datenbanken als Backend benutzen. Wesentlich lehrreicher in Bezug auf das Schreiben von Webanwendungen ist jedoch das cheat sheet (meiner Meinung nach ein "must-bookmark").
(via darknet.co.uk)