Forse hai usato l'opzione --risk con un valore superiore a 1 .
dal documento ufficiale:
The default value is 1 which is innocuous for the majority of SQL injection points. Risk value 2 adds to the default level the tests for heavy query time-based SQL injections and value 3 adds also OR-based SQL injection tests.
quindi se è estremamente necessario eseguire lo scanner su prod, non usare un valore più alto per tale opzione [sqlmap usa per default --risk=1 ma può essere il caso che una query sia così malformata che possa creare un caos su il tuo database]
doc ufficiale: link
Come ha detto @Neil nel suo commento, dovresti non fare pentes sui sistemi di produzione. Se questo dovesse essere necessario per qualche ragione, assicurati che ci siano dei backup disponibili ...
Riguardo a SQLmap, leggi la documentazione. Sono disponibili più e meno operazioni "sicure". Non vi è alcuna garanzia che le operazioni "sicure" non causino problemi.
Le altre risposte sono giuste, ma una cosa che non è stata menzionata è dove si inietta. Se si inserisce una dichiarazione che esegue un DELETE , si rischia di cancellare tutto se si inietta su di esso. Allo stesso modo, se si immette su un INSERT , si rischia di corrompere tutto.
Durante l'esecuzione di valutazioni, è necessario prestare attenzione a comprendere la funzionalità prima di tentare di sfruttarla. Questo non solo ti aiuta a sfruttare le vulnerabilità, ma ti aiuta a scrivere consigli migliori su come risolvere il problema.
Leggi altre domande sui tag sql-injection sqlmap