вообще пых тут как таковой не при чем

просто пых используется в большинстве сайтов

есть софтина на какой либо языке -> она привязана к апачу( веб :80 ) будь то cgi или как модуль -> софтина работает с какой либо базой данных -> в запросах юзаются внешние данные( передаваемые клиентом ) -> недостаточная фильтрация -> sql-injection

данные, как верно отметил ol1ver, используемые в запросе, могут поступать из разных источников - в http заголовках( сессии кукисы рефы ), в передаваемых данных get/post