Часто WAF на сайте душит все попытки провести SQL-инъекцию и не дает нормально воткнуть кавычку и вставить привычный пэйлоад, однако, нехитрыми манипуляциями все же частенько его можно обойти. Добавив управляющие символsы , типа %00, %0A и тд или вставив математические операции ('AND'1'=1*1 вместо 'AND'1'='1') или добавив специфичные комментарии типа /*!50000%55nIoN*/ /*!50000%53eLeCt*/ и многое другое.
Если бек налмална настроен, то хуй чё обойдёш. Если нет, то можно разъебать весь фронт и уже суетить. красава братанчик