1) Увы, бывает и такое, что параметр неуязвим.. Или же фильтр нельзя обойти, не имея исходников. Как варинт - пробуй любой fuzzer - он тебе перепробует всё, что можно и сообщит о неадекватных реакциях на параметры.
Попробуй вместо
Default.aspx?param=id_user;10;2009;RU
Передать
Default.aspx?param=id_user;10;2009;RU&param=';das' ;'a;'
Вообщем, поэкспериментируй, результаты двойной инициализации параметра могут приятно удивить.

2) А что тебя удивляет? В PHP, например, ведь не только $_POST может использоваться, но и $_REQUEST и ещё великое множество массивов и супермассивов.

3) Вероятнее всего или включена опция magic_quotes в настройках php, или используется функция, аналогичная addslashes().

4) Пытался запихать туда фразу <?php echo $login; ?> ... Это уязвимость класса XSS (вывод параметра в html код), а не code execution посредством записи кода в файл. PHP код в таком случае не сработает.

__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.