SQL-injektion er dybest set at tilføje ekstra kode til forespørgslen. Selve angrebet opstår, fordi serveren parser inputdataene som SQL-kode og udfører dem i overensstemmelse hermed. Du kan ikke beskytte mod det på SP-niveau, for når udførelsen kommer til proceduren, er angrebet allerede lykkedes.
Så så længe du konstruerer dine forespørgsler som tekst, er SQL-injektion mulig, uanset hvad forespørgslens tekst er. Og hvis du ikke gør det, eller hvis du renser dit input ordentligt, så burde SQL-injektion igen ikke være et problem, uanset om det er SELECT eller noget andet.