iget, Часто бывает что выключен отчёт об ошибках. То есть даже если ты поставишь ' и т.п. ты не выбьешь ошибку.

SQL инъекции часто находят через Google. Как их искать смотри в самом Google.

Например имеется у тебя параметр ?id=2 поставь к примеру, так: ?id=2-1 -- . Если выйдет, тоже самое что и при ?id=1 , то тут 100% уязвимость.

Более подробно ты можешь почитать в статье SQL injection полный FAQ

Желаю тебе удачи, в этом нелегком деле!