La inyección de SQL es, básicamente, agregar código adicional a la consulta. El ataque en sí ocurre porque el servidor analiza los datos de entrada como código SQL y lo ejecuta en consecuencia. No puede protegerse de él en el nivel SP, porque cuando la ejecución llega al procedimiento, el ataque ya ha tenido éxito.
Entonces, siempre que construya sus consultas como texto, la inyección de SQL es posible independientemente del texto de la consulta. Y si no lo hace, o si desinfecta adecuadamente su entrada, de nuevo, la inyección SQL no debería ser un problema, ya sea SELECCIONAR o algo más.
