Primeiro, é bom saber: SQL (Structured Query Language, Linguagem de Consulta Estruturada) é uma linguagem de pesquisa para banco de dados relacional. Diferentemente de outras linguagens de consulta a banco de dados, a consulta SQL especifica o resultado e não o caminho para chegar até ele. SQL, portanto, é uma linguagem declarativa em oposição a outras linguagens procedurais. A linguagem SQL é um grande padrão de banco de dados, o que decorre da sua simplicidade e facilidade de uso.
Segundo, um resumo: SQL Injection (Injeção de SQL) é um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta através da manipulação das entradas de dados de uma aplicação.

Assista a esse tutorial da OWASP e entenda melhor: