SQL-injektion är i grunden att lägga till extra kod till frågan. Själva attacken uppstår eftersom servern analyserar indata som SQL-kod och exekverar den därefter. Du kan inte skydda dig från det på SP-nivå, för när exekveringen kommer till proceduren har attacken redan lyckats.
Så så länge du konstruerar dina frågor som text, är SQL-injektion möjlig oavsett vad texten i frågan är. Och om du inte gör det, eller om du rengör din input ordentligt, borde SQL-injektion inte vara ett problem, oavsett om det är SELECT eller något annat.