SQL-инъекция - это возможность вставлять SQL-запросы непосредственно в предварительно настроенный код вашего сайта. Это можно сделать с помощью чего-то простого: ';' добавлен символ для добавления вашего кода, но никоим образом не ограничен этим.
Чтобы проверить ваш сайт на наличие XSS, лучше всего убедиться, что все входные данные, взятые с веб-страницы, проверены перед запуском в вашу базу данных. Например, это означает, что в коде вашего приложения вы проверяете, что кнопка публикации на вашем веб-сайте содержит только те параметры, которые вы ожидаете, и ничего более. Проверка и ограничения на местах являются основными уязвимостями, которые вы пытаетесь ограничить.
Не используйте свою веб-страницу в качестве инструмента проверки. Хакеры, желающие использовать XSS, не обязательно будут использовать вашу страницу для этого. Это означает, что ваша бизнес-логика - это то, что нужно оценивать.