Al parecer no puedo ponerte un ejemplo porque el foro me detecta el ejemplo como si estuviera efectuando la inyección de SQL. Básicamente, una consulta SQL usualmente es representada como un string. Cuando alguien intenta componer el string con otras variables es posible que la consulta termine siendo diferente a lo pensado. Depende de quien ha manipulado la variable. Si el contenido de la variable viene de fuera de tu programa (por ejemplo de un usuario) no tienes control sobre lo que puede contener la variable por eso debes tratarla antes de usarla.
En palabras básicas, es cuando un "atacante" altera una consulta de una aplicación que se esté efectuando hacia una base de datos, permitiendole hacer "lo que quiera" con esa consulta, como sacar información, editar, borrar, etc.
Te recomiendo aprendas conceptos de SQL y cómo funciona la relación "Cliente-Servidor", también los principales lenguajes de programación (sobre todo nivel web) como PHP, por ejemplo. Zalu2