Saludos, estoy intentando aprender sobre las sql inyection, he leído varios papers y pdfs sobre las distintas técnicas y como realizarlas en manuales, he echo algunas con sqlmap, tanto con parametros gets y post, pero en una web me está ocurriendo lo siguiente, tiene un formulario de busqueda que se que es vulnerable debido a que si pongo una comilla simple ' me da error en la sentencia.

Pero no me permite explotarla por más que analizo el formulario, mi duda es: ¿es posible que aun mostrandome el error sql de sentencia pueda no ser vulnerable, o es que algo estoy haciendo mal, ¿toda web que muestra este error se puede considerar vulnerable?.

Muchas gracias.