セキュリティのポリシーが考えられて無いシステムの場合は、実装のほうが心配です。
例えば、端末側の実装で、接続文字列（パスワードを含むもの）を書き出してINIやレジストリ・シリアライズされたテキストに保存している。
クエリーについては、プリペアドステートメントを使わない。数値や文字列は独自関数でエスケープはしてはいるが、数値の代入まで考慮されていない。ASPの場合、JavascriptだけのチェックでOKという恐ろしいものもありました。このようにSQLインジェクションし放題な現場は多かったりします。このような事例は大規模なシステムでも複数回見かけた事があります。（実際にその企業はSQLインジェクションによる漏洩事件を起こして、大変なニュースになった事案も。）
しかし、下請け企業の場合は、セキュリティホールを親会社に指摘すれば、次の仕事に影響する恐れから、なかなか指摘しづらいのが現状です。