Проверка более, чем простая:
1. Отсутствие единой точки входа с фильтрацией по "белому списку" всех входных пользовательских данных - это уже в 99.9% случаях - 100%-ое наличие уязвимости в коде.
2. Отсутствие единого класса/PDO и подготовленных выражений для запросов к базе данных - та же история.
3. Отсутствие настройки конфигурации .htaccess и настройки/проверки серверных переменных окружения - та же история.
4. Отсутствие экранирования тегов при выводе в шаблон - возможна XSS-атака.
Подробнее,
смотрите здесь.
