Denke bitte nicht, dass du alles über SQL Injections weißt, nur weil du es mal kurz im Studium hattest.
Und leider überschätzen sich zu viele Admins selbst, und erkennen so etwas nicht mal, wenn sie es unter die Nase gerieben bekommen.
Hier auf GF, genau auf dieser Seite, die du gerade liest, gibt es eine seit 3 Jahren offene SQL Injection Lücke, die von den GF Entwicklern einfach nicht geschlossen wird, weil sie die davon ausgehenden Angriffsmöglichkeiten - trotz ellenlanger Erklärungsversuche - einfach nicht zu verstehen scheinen.
Details nenne ich jetzt natürlich nicht öffentlich, und genau genommen ist die Sache für mich gegessen, aber das soll nur ein Beispiel dafür sein, dass es eben NICHT jedes Kind zu verstehen scheint.
Und um deine Frage zu beantworten: Mit etwas Erfahrung muss man gar nicht aktiv danach suchen. Solche Lücken laufen einem einfach so beim Besuch einer Website über den Weg.
Also lerne einfach schön weiter, auch wenn es dir zu primitiv erscheinen mag. Irgendwann kommt die Erleuchtung von ganz allein. ;)