För att SQL Injection ska fungera behöver de ett sätt att skicka SQL-kod till din server, eftersom det inte finns någon input, det är i teorin omöjligt för dem att injicera SQL. (Även om jag inte är expert på ämnet)
Jag skulle ändå rekommendera dig att använda ett ramverk som mysqli eller PDO, du bör bekanta dig med sådana ramverk eftersom de blev normen inom webbdesign.