En principio si la variable se le pasa por GET lo que podrías hacer es interceptar la petición y modificar la variable que se le pasa a la base de datos metiendo comando SQL directamente como por ejemplo http://www.mipagina.com/fichaproduct...lo=1003'Or 1=1-- con lo que el resultado sería siempre cierto y te mostraría el listado completo de los artículos que se le puedan pasar a la variable codiarticulo, si el servidor es vulnerable a este tipo de ataques, podrías llegar a enumerar la base de datos completa y si mostrara alguna ruta al servidor en algún error tipo SQL que se muestre por pantalla pues peor jeje.

Para evitar este tipo de ataques lo primero que se suele hacer es filtrar a nivel web, con scripts que puedes crear o directamente bajarte de apache o iis los caracteres(',*,%,=,-,+ etc etc) seguro que puedes encontrar cómo hacerlo en la web del fabricante que hayas escogido, fortificación del serivdor o del código. Si el atacante mete algún caracter de este tipo se le redirige a una página de error estática y simple con un mensaje de advertencia o diciendole que ese tipo de caracteres no se aceptan.

De todas formas hay muchisima documentación de inyección SQL y Blind SQL (de forma ciega)

Lo que también como a todos me parece extraño es que NO te hayan echo un informe con vulnerabilidades, ejemplos y recomendaciones, es lo que se suele hacer vaya.

Un saludo.