Насколько велико ваше адресное пространство? Если возможно, лучше всего попытаться внедрить SQL через HTTP GET и POST запросы. Есть некоторые проблемы, которые могут быть обнаружены при проверке исходного / байтового кода, но единственный способ точно определить, какие виды потенциально вредоносного ввода будет принимать ваше приложение, - это использовать HTTP-запросы.
CAL9000 - хороший инструмент для тестирования SQL-инъекций / межсайтовых сценариев, если ваш набор URL-адресов мал.
Компании, которые серьезно относятся к обнаружению неправильного ввода вредоносных данных, будут нанимать стороннюю компанию для проведения тестирования на проникновение. White Hat Security - поставщик, с которым я работал в прошлом, и может порекомендовать. Мы использовали их для веб-сайта электронной коммерции стоимостью более 100 миллионов долларов США. (Я не имею отношения к White Hat и не получаю никакой выгоды, если вы становитесь их клиентом.)
Все тестирование / усиление вашего кода в стороне, это очень хорошая идея, чтобы иметь брандмауэр HTTP, например mod_security .