Affinché SQL Injection funzioni, hanno bisogno di un modo per inviare il codice SQL al server, poiché non c'è input, in teoria è impossibile per loro iniettare SQL. (Anche se non sono un esperto in materia)
Ti consiglierei comunque di utilizzare un framework come mysqli o PDO, dovresti familiarizzare con tali framework poiché sono diventati la norma nella progettazione di siti Web.
