ясно, что более менее крупный ресурс скорее всего сломать автоматически не получится, много ручками придется.

однако есть дофига программ, скриптов тестирующих сайты на sql инъекции.

как ими обычно пользуются - загружают список урлов (откуда их кстати брать? просто с гугла все сподряд?), и ждут пока прога набрутит где-нибудь что-нибудь - а дальше уже вручную разбираются.

изъян - скорость, с одного компа много не набрутишь.

хочу узнать, брутят ли люди ботнетами? посоветуйте хорошие тулзы, которые хорошо справляются с определением наличия sqli. (как бы это не звучало, желательно просто ему url указать, а он спайдером сам пройдется и все посмотрит)