La inyección se hace cuando se pasa código SQL como input desde el browser a una aplicación web vulnerable, la cual convierte dinámicamente y sin hacer el debido filtrado de caracteres a ese input en sentencias que se envían directamente a un servidor SQL o a través de otro nivel intermedio. Si la inyección es exitosa, el servidor SQL con el cual se comunica la aplicación web podrá ejecutar lo que el atacante le indique, con los privilegios con los que se esté ejecutando.

Propiamente la inyección no se hace a la página web, sino al servidor SQL a través de una webapp. Claro que también se puede usar SQLi para hacer deface de una página web y muchas cosas más, pero no es lo mismo.

Cualquier aplicación web que se comunique con un servidor SQL en backend, que use parámetros de input para construir sentencias SQL que se enviarán en las consultas a ese servidor y que no haga un filtrado adecuado, puede ser vulnerable a SQLi.  

Saludos.