For at SQL Injection skal virke, har de brug for en måde at sende SQL Code til din server, da der ikke er noget input, er det i teorien umuligt for dem at Inject SQL. (Selvom jeg ikke er ekspert i emnet)
Jeg vil stadig anbefale dig at bruge et framework som mysqli eller PDO, du bør sætte dig ind i sådanne frameworks, da de blev normen inden for hjemmesidedesign.