Lo principal de SQL injection es manejar de manera correcta los caracteres que afectarían la sentencia SQL, y además de eso acompañar bien -como se dijo antes- el tema de la autentificación de los usuarios al loguearse.

Es un tema bastante más extenso que ese párrafo que escribí ahí arriba, yo también recomiendo ver algunos ejemplos, así que vas a tener que leer algún artículo que lo explique más detalladamente.