Normalmente cuando se estudia sobre sql injection muestran que la web, digamos, tiene algo así miweb.com/index.php?=1 , en caso de que no se así, como se vulneraría ?
Es igual que no tenga "digitos", números, si es vulnerable por SQL injection tan sólo tienes que inyectar la instrucción (payload) maligno, sea numérico o no.
Tienes tutoriales de SQL injection a patadas, te recomiendo algunos de actuales:
Autor
En línea
