Wstrzyknięcie SQL polega po prostu na dodaniu dodatkowego kodu do zapytania. Sam atak następuje, ponieważ serwer analizuje dane wejściowe jako kod SQL i odpowiednio go wykonuje. Nie możesz się przed nim zabezpieczyć na poziomie SP, ponieważ gdy wykonanie trafia do procedury, atak już się powiódł.
Tak długo, jak konstruujesz zapytania jako tekst, wstrzyknięcie SQL jest możliwe bez względu na tekst zapytania. A jeśli tego nie zrobisz lub jeśli odpowiednio oczyścisz dane wejściowe, to znowu wstrzyknięcie SQL nie powinno stanowić problemu, niezależnie od tego, czy jest to SELECT, czy coś innego.
