Честно, сомневаюсь, что в реальных условиях sqlmap справится с последними версиями WAF без серьезной доработки. Там уже не просто убрать пробелы или поменять регистр — правила стали куда сложнее. Да и ручное тестирование, как писал Сергей, пока что кажется надежнее. Особенно про second-order — там автоматических инструментов вообще мало. Как по мне, без глубокого понимания приложения мало что выйдет.