Claro que funciona con index.php. Si buscas en google esto: index.php?id=1 y vas probando lo de la comilla en las páginas, tarde o temprano te dará algún warning.

Si no muestra ningún error en teoria no es vulnerable a sql injection, pero también es posible que sea vulnerable y tenga los warnings desactivados.

Yo no soy experto en SQL injection, ni quiero serlo, porque si accedes a una área de administración ajena se te puede caer un puro gordo