На примере понять SQl иньекцию будет проще:
Допустим имеется страница отображения статьи, доступная по ссылке:
https://datalitics.ru/articles?id=10
В месте которое отвечает за отображение статьи, присутствует код, который получает данные из Mysql:
$id = $_GET['id'];
$query = "SELECT * FROM articles WHERE id=$id";
Так вот, если запросить страницу по адресу
https://datalitics.ru/articles?id=10 UNION SELECT 1
То в переменную $id попадет значение "10 UNION SELECT 1", которое успешно отправиться в субд и выполниться там. Это и есть SQL иньекция
Что - SQL команду.
Как - Отправив POST или GET запрос на сервер.
Куда - На страничку сайта на которой предположительно существует брешь в процедуре фильтрации входящих параметров.