Veel kunnen er worden gevonden door karakters die een speciale betekenis hebben in de SQL taal in te voeren in tekstvelden. Zoals '*%;". Gaat de website daar stuk van (alsin er worden foutmeldingen getoond), dan zit er waarschijnlijk een SQL injection lek ergens. Volgende stap is dan om rustig te gaan zoeken waar het precies zit.
Als je de broncode van de website hebt is het zoeken een stuk eenvoudiger, omdat je één voor één alle plaatsen af kunt gaan waar SQL gebruikt wordt en direct kan zien of er injection mogelijk is of niet.