Sí, es una inyección porque está inyectando su código en el código SQL existente.
Por ejemplo. Una forma común de iniciar sesión en un usuario utilizando php y SQL se ve así:
$sql = "SELECT * FROM users WHERE username = '" . $POST['username'] . "' AND password = '" . $POST['password'] . "';"
Las variables $ POST ['nombre de usuario'] y $ POST ['contraseña'] lo que el usuario coloca en los campos de inicio de sesión. Si el usuario ingresó lo siguiente.
' or 1 == 1 ---
El SQL resultante que se ejecuta se ve así:
SELECT * FROM users WHERE username = '' or 1 == 1 --- AND password = '';
Note que todo después del "---" es un comentario y se ignora. Así que el sql mira para ver si puede encontrar un nombre de usuario que coincida con null o 1 == 1. Como 1 siempre es igual a 1, el SQL devolverá verdadero e iniciará la sesión del usuario.
Esto se llama inyección porque el usuario está inyectando su código en el código que escribió el desarrollador.