SQL инжектирането е основно добавяне на допълнителен код към заявката. Самата атака възниква, защото сървърът анализира входните данни като SQL код и ги изпълнява съответно. Не можете да се защитите от него на ниво SP, защото когато изпълнението стигне до процедурата, атаката вече е успешна.
Така че докато конструирате заявките си като текст, SQL инжектирането е възможно, независимо какъв е текстът на заявката. И ако не го направите или ако правилно дезинфекцирате въведените си данни, тогава отново SQL инжектирането не би трябвало да е проблем, независимо дали е SELECT или нещо друго.