↑
Каким сканером скулю нашел? Burpsuite? Бывало и меня sqlmap на 100% скули писал возможно boolean-blind, а потом что ложно. И как-то с 20-го раза где-то, я получил БД, при том же инжекте. Пробуй просканить другим сканером. Netsparker, Acunetix (по лучше будет)... И кинь найденный инжект в sqlmap. Пробуй с --random-agent --level=5 --risk=3. У тебя в POST запросе при авторизации. Пробуй по новой зарегайся на сайте и с помощью BurpSuite опять получи PHPSESSID при авторизации и подставь их. Раскручивай скулю, то есть потоки меняй --threads=10, подставляй темперы --tamper и так далее