Om SQL-injectie te laten werken, hebben ze een manier nodig om SQL-code naar uw server te sturen, aangezien er geen invoer is, is het in theorie onmogelijk voor hen om SQL te injecteren. (Hoewel ik geen expert ben in het onderwerp)
Ik zou je nog steeds aanraden om een framework zoals mysqli of PDO te gebruiken, je moet jezelf vertrouwd maken met dergelijke frameworks omdat ze de norm zijn geworden in het ontwerpen van websites.