Eso no es correcto. Una inyección SQL implica alterar la consulta u obtener información (nombre de campos, valores de los mismos y tablas) y vulnerar así una web.
Por norma general se hacen en los Selects por temas de login, pero dependiendo de como se ha programado la página puedes hacer auténticos destrozos.
Ya he visto en alguna que otra página deletes donde se les puede pasar el id por GET sin validar nada y burradas similares.
Una inyección se puede hacer a cualquier consulta.

Eso del lado del servidor pq ya ni hablemos de las vulnerabilidades XSS.

Cualquier usuario que se preocupe por la seguridad de su web +10