Сейчас sqlmap — это скорее дополнение к ручной работе, чем готовое решение под ключ. WAFы отлавливают большинство стандартных фишек, и без точной настройки и анализа трафика толку мало. Но если тщательно подобрать тамперы и подмены, иногда удаётся прорваться, хоть и занимает это времени куда больше, чем раньше. Так что терпение и наблюдательность — главные инструменты.