conviene studiare quali sono le strategie più diffuse per proteggersi da sql injection, e vedere se sono state applicate e dove mancano.
è comunque un lavoracchio.

intanto cerca la pagine che possono scrivere nel db nel modo che hai scoperto essere possibile, e controlla prima quelle.
tieni sott'occhio anche la registrazione degli utenti: trattandosi di vecchio progetto potrebbe esserci un bug che consente di ottenere le credenziali d'accesso. molti vecchi progetti avevano questo male.