Pour que l'injection SQL fonctionne, ils ont besoin d'un moyen d'envoyer du code SQL à votre serveur, car il n'y a pas d'entrée, il leur est en théorie impossible d'injecter du SQL. (Bien que je ne sois pas un expert en la matière)
Je vous recommanderais quand même d'utiliser un framework comme mysqli ou PDO, vous devriez vous familiariser avec ces frameworks car ils sont devenus la norme dans la conception de sites Web.
