A ver, a groso modo, para q sepas lo q es, te pondre un ejemplo muy facil:
dos.php
Código PHP:
<a href="uno.php?id=4">Noticia 4</a>
uno.php
Código PHP:
$result = mysql_query("SELECT * FROM TABLA WHERE id=".$_GET['id'].";");
$row = mysql_fetch_row($result);
....
Teniendo, esto scripts, en cuanto desde dos.php te lanza a uno.php pasando por linea de direcciones la variable id, permite la inyeccion de SQL, haciendo alguien pudiera unirle algo a la sentencia y asi obteniendo resultados no deseados.
Por ejemplo, alguien podria hacer lo siguiente:
http://tusitio.com/uno.php?id=1%20UN...0TABLE%20TABLA
%20 = (espacio en blanco).
Agregando al final de la clave (DROP TABLE TABLA), lo cual borraria la tabla.
El tema es much mas amplio, pero esto es la base, espero q te haya ayudado en algo.
Un saludo.