Injeksi SQL, pada dasarnya, menambahkan kode tambahan ke kueri. Serangan itu sendiri terjadi karena server mem-parsing data input sebagai kode SQL dan mengeksekusinya sesuai dengan itu. Anda tidak dapat melindunginya di level SP, karena ketika eksekusi sampai ke prosedur, serangan telah berhasil.
Jadi selama Anda membuat kueri sebagai teks, injeksi SQL dimungkinkan terlepas dari apa teks kuerinya. Dan jika tidak, atau jika Anda membersihkan input dengan benar, sekali lagi, injeksi SQL seharusnya tidak menjadi masalah, apakah itu SELECT atau yang lainnya.
