Куда хакеры вписывают SQL injection для взлома БД и т. д.? И на какой системе: Linux, Windows или на какой-то другой?

Контролируемые тобой данные. Сюда могут входить абсолютно любые части HTTP-запросов, зачастую это действительно URL Query params (index?id=...), но могут быть и уникальные довольно места, например, внутри загружаемых файлов. Это данные, сформированные на основе запросов, куда нужно смотреть, что бы найти аномалии и признаки инъекции