Es difícil: debe probar cada URL de su aplicación y comprobar si hay patrones específicos en la respuesta (y es muy difícil tener un buen algoritmo que pueda comprender qué es bueno o malo, javascript o necesita configurar este escáner, que puede ser largo y complicado).
Hay una solución de código abierto en tiempo real llamada mod security en el lado del servidor. Es un firewall de aplicaciones web: puede detectar patrones específicos en solicitudes y/o respuestas. Funciona en apache como un módulo. Esta es principalmente una solución de producción y no detecta la inyección durante el desarrollo. Además, necesita algunas experiencias para ajustarlo (lo que está bien y lo que está mal en los intercambios de datos con nuestros clientes) que puede ser complicado y no protege contra nuevos ataques o ataques más inteligentes (por ejemplo, recodificación de caracteres).
Por cierto, otra solución es usar Content Security Policy pero no está disponible en todos los navegadores (bueno, nadie en este momento, espere Firefox 4 ;-).
Usted debe hacer la comprobación antes de que algo está escrito no después. –