Normalmente cuando se estudia sobre sql injection muestran que la web, digamos, tiene algo así miweb.com/index.php?=1 , en caso de que no se así, como se vulneraría ?
Es igual que no tenga "digitos", números, si es vulnerable por SQL injection tan sólo tienes que inyectar la instrucción (payload) maligno, sea numérico o no.
Tienes tutoriales de SQL injection a patadas, te recomiendo algunos de actuales:
Básico:
https://github.com/Y000o/sql_injection_basic/blob/master/sql_injection_basic.md
Avanzado:
https://github.com/Y000o/Sql_injection_medium-advanced.md/blob/main/Sql_injection_medium-advanced.md