Смотря какой вид SQL инъекции, где и что еще дополнительно меняет/фильтрует запрос и тд. А так, да, руками Sucuri обходится, но с не большими нюансами, на счёт tamper скриптов от sqlmap не уверен, что там из стандартного набора получиться обойти без проблем и блокировки, разве что только переписать/написать свой.

P.S. Вы плохо гуглите, информации из гугла по методам обходам WAF, хватит для обхода!