Добрый вечер.

Начал изучать sql-инъекции. В статьях на эту тему берутся примеры с site.ru/index.php?id=1. Обязательно ли SQL-инъекция требует, чтобы на сайте лежал файл с расширением .php и до него так легко было добраться по ссылке?

не обязательно, может быть и урл вида site.ru/cat/1

тут от mod_rewrite зависит

А что такое mod_rewrite?

модуль для апача

можно задать правило, чтобы к примеру при переходе на site.ru/cat/1 отправлялся запрос на site.ru/cat.php?id=1

следовательно инъекция будет иметь вид site.ru/cat/1[тут sql код]

в любых языках, в любых передаваемых данных

Даже в кукис может быть.

Страшно??

вообще пых тут как таковой не при чем

просто пых используется в большинстве сайтов

есть софтина на какой либо языке -> она привязана к апачу( веб :80 ) будь то cgi или как модуль -> софтина работает с какой либо базой данных -> в запросах юзаются внешние данные( передаваемые клиентом ) -> недостаточная фильтрация -> sql-injection

данные, как верно отметил ol1ver, используемые в запросе, могут поступать из разных источников - в http заголовках( сессии кукисы рефы ), в передаваемых данных get/post