SQL-injectie is in feite het toevoegen van extra code aan de query. De aanval zelf vindt plaats omdat de server de invoergegevens als SQL-code ontleedt en dienovereenkomstig uitvoert. Je kunt er op SP-niveau niet tegen beschermen, want wanneer de uitvoering de procedure bereikt, is de aanval al geslaagd.
Dus zolang u uw query's als tekst opbouwt, is SQL-injectie mogelijk, ongeacht de tekst van de query. En als u dat niet doet, of als u uw invoer op de juiste manier zuivert, zou SQL-injectie geen probleem moeten zijn, of het nu SELECT is of iets anders.