Похоже, вы путаете элементы управления Validator с ValidateRequest, внутренним механизмом ASP.Net для очистки запросов.
Проверка валидатора полностью зависит от ваших валидаторов. Вы используете RequiredFieldValidator? Тогда неверные вводы - это просто пустые текстовые поля. Это RegularExpressionValidator? Затем вам нужно ввести что-то, что не соответствует регулярному выражению. CustomValidator? Затем вам нужно проверить логику проверки.
Для меня это больше похоже на то, что вы беспокоитесь о том, что входные данные очищаются для выполнения запросов к базе данных. Первое, что нужно проверить, это то, что в вашей директиве Page ValidateRequest не установлено значение «false». Если это так, это объясняет, почему HTML пропускают.
Вы также должны проверить следующее:
Как: защитить от сценариев в веб-приложении, применяя кодировку HTML к строкам
Проверка ввода пользователя на веб-страницах ASP.NET
Тогда, если вы хотите попробовать атаку с внедрением базы данных, просто найдите в Google базовый учебник по внедрению SQL.