有没有SQL注入漏洞的证据？

我的公司要求所有生产站点都通过AppScan安全扫描.有时,当我们扫描SharePoint安装时,该软件会检测到盲目的SQL注入漏洞.我很确定这是误报 - AppScan可能会将HTTP响应中的其他一些活动解释为盲注的成功.但很难证明情况就是这样.

我怀疑SharePoint(MOSS 07和WSS 3.0)仅在幕后使用存储过程.有没有人知道微软是否有这方面的文件,此外,是否有任何存储过程使用动态生成的SQL？如果一切都是sprocs,并且没有一个是动态的,我们就会有很好的证据表明SharePoint没有SQL注入漏洞.