Для начала стоит начать с просмотра кода, в приведённом коде как минимум два нотиса в случае отсутствия переменной и использования константы вместо строки.
Вам нужен не сканер. а человек, который проведёт аудит кода. Он и инструмент подходящий знает и логические ошибки может выловить.
