私は、さまざまなJavaenJSPベースのアプリケーションで構成される巨大なレガシーコードベースを持つ顧客のために働いています。
ほとんどのクエリは、ホームビルドの「orm」システムを使用して行われます。一部のアプリケーションは、プレーンオールドJDBCを使用します。一部のアプリケーションはHibernateに基づいています(はい、プラス記号を使用したHQLビルドも潜在的な問題です)。古いアプリケーションのいくつかは完全にJSPで書かれています。
SQLインジェクションのバグを手動でいくつか見つけました。しかし、私は実際にある種のツールを使用して、潜在的な弱点を探すことができました。
何か案は?