Aby SQL Injection fungovalo, potřebují způsob, jak poslat SQL kód na váš server, protože neexistuje žádný vstup, je pro ně teoreticky nemožné vložit SQL. (Ačkoli nejsem odborník na toto téma)
Přesto bych vám doporučil používat framework jako mysqli nebo PDO, měli byste se s takovými frameworky seznámit, protože se staly normou v designu webových stránek.