cURL mostrará exactamente lo que el servidor proporciona como respuesta, de forma predeterminada. En este caso, el servidor responde con una página HTML completa. Esto no significa que la inyección de SQL no funcionó, simplemente que el resultado incluso de la solicitud inyectada fue una página HTML completa.
Es común que la respuesta de un ataque de inyección aparezca en parte de una página, tal vez en una tabla que se extrae de una base de datos de alguna manera, o en un campo cargado de una consulta de base de datos. Herramientas como SQLmap realizan una comparación automática entre solicitudes "legítimas" y solicitudes inyectadas, buscando diferencias. Es posible hacer lo mismo manualmente, pero la clave en la mayoría de los ataques de inyección es la cadena de entrada, en lugar de analizar las diferencias en la salida.
El uso de un proxy como Burp o ZAP le permite editar las solicitudes de publicación directamente y ver las respuestas en un navegador, sin tener en cuenta la protección del lado del cliente que pueda haber. También puede extraer partes específicas de la página que sean de su interés utilizando la función de extracción del módulo Intruder de Burp. Al inyectar una cadena poco común, es posible ampliar rápidamente la parte modificada de una página.