Я хотел выяснить операторы SQL в моем приложении, которые не были написаны с использованием PreparedStatement, которые уязвимы для атаки SQL-инъекцией.
Любой сканер кода, который может выполнять эту работу?
Эти два инструмента выполняют ряд проверок безопасности в коде Java:
http://suif.stanford.edu/~livshits/work/lapse/download.html
http://jsecscanner.sourceforge.net/
Первый из них определенно проверяет уязвимость для внедрения SQL,Не уверен насчет второго, но даже если это не так, он сделает другие полезные проверки.Оба плагина для Eclipse IDE.
Существует много платных и неоплачиваемых инструментов.Вы можете найти список инструментов ниже ссылок.
Также вы можете найти недостатки, уязвимости и там примерв https://www.owasp.org/.
Лично я использовал коммерческие Veracode и AppScan.Мне понравился Veracode, он прост в использовании и имеет множество функций.