http://d.hatena.ne.jp/teracc/20081227
id:ripjyrさんに突っ込まれてますが、アプローチの仕方が違いますね。
私は、なるべく自動で検出できるように、多少送信パターンが増えてもいいという考え＆テスト環境に対してテストを実施するというコンセプトで考えています。
また、根本的な考え方として、エラー発生時と正常時ではレスポンスのタグの構造が違うだろうと想定しています。もっとも、この手法では検出できないケースもあるかと思うけど。
検出手法は、以下の日記を参考に
http://d.hatena.ne.jp/ikepyon/20070702
http://d.hatena.ne.jp/ikepyon/20041129
http://d.hatena.ne.jp/ikepyon/20041124
http://d.hatena.ne.jp/ikepyon/20080411

SQLインジェクションでは「'」と「''」のレスポンスの違いで確認するけど、場合によってはわからんけどな。