在 .htaccess 文件中，正则表达式无法匹配空格字符。

也许这对你有用：

RewriteCond %{QUERY_STRING} !(?:^|&)ID=\d+(?:&|$)
RewriteRule ^ - [F]

如果您只想让它影响查询字符串中有ID参数的请求（因此允许没有ID的请求）：

RewriteCond %{QUERY_STRING} (?:^|&)(?:\%(?:20|09))*ID(?:\%(?:20|09))*= [NC]
RewriteCond %{QUERY_STRING} !(?:^|&)ID=\d+(?:&|$)
RewriteRule ^ - [F]

我还添加了[NC]（不区分大小写），这样iD等也将被包括在内。

@Andreykul 对于来自常规浏览器的请求，空格会被编码，但这些请求是为了探测漏洞而发起的。

可能是针对 Web 服务器本身的漏洞，而不是针对您的 Web 应用程序的漏洞... (?)

GET /page.php?ID=5 5 HTTP/1.1

这个问题在于这是一个无效/格式不正确的请求。为了使其有效，它必须进行URL编码。第一行请求中的（文字）空格是特殊字符，充当标头中“方法”、“请求URI”和“HTTP版本”部分之间的分隔符。
由于该请求无效，合理的期望是服务器级别已经使用400 Bad Request阻止了它。
如果服务器没有阻止该请求，则可能会遇到意外行为。这可能就是你在这里看到的情况...
对于这样的请求，如果你检查QUERY_STRING服务器变量，你会发现它不包含空格或第二个5。在文字空格之前，值被截断，它只包含ID=5。（因此，这也是PHP所看到的。）因此，你的正则表达式（CondPattern）永远不会匹配。
然而，完整的请求URI存在于请求的第一行中（如你上面发布的），可以在THE_REQUEST Apache服务器变量中获得。最好直接阻止包含文字空格的任何请求（这本来就是无效的），而不是专门搜索包含ID参数的请求。例如：

RewriteCond %{THE_REQUEST} \s.*\s.*\s
RewriteRule ^ - [R=400]

这个检查是否包含在外部空格分隔符之间的任何空白字符。
参考：
https://www.w3.org/Protocols/rfc2616/rfc2616-sec5.html