El tema de la "injeccion SQL" supone que se pueda ejecutar ciertos comandos SQL desde una entrada de datos que pidas en tu aplicación .. puede ser un simple "input" de un formulario o datos que aceptes por el URL .. Esa ejecución del comando SQL si se llega a producir por mal filtrado/nula validación de los datos .. y demás despistes de programación .. pueden dar el privilegio de cambiar una contraseña del administrador (en tal tabla .. cambiar tal campo/dato) por ejemplo y así tomar el control de esa aplicación.

Entre otras cosas .. te cierran el accesos a tu panel de administración de esa aplicación (pero no de la entrada a phpMyadmin o tu cPanel o lo que uses habitual para administrar tu BD).

Si usan google: SQL injection php mysql
podrán ver muchos artículos sobre el tema y como corregirlo para evitar dicho problema.

Un saludo,