Контролируемые тобой данные. Сюда могут входить абсолютно любые части HTTP-запросов, зачастую это действительно URL Query params (index?id=...), но могут быть и уникальные довольно места, например, внутри загружаемых файлов. Это данные, сформированные на основе запросов, куда нужно смотреть, что бы найти аномалии и признаки инъекции