SQLインジェクションは、基本的に、クエリにコードを追加することです。サーバーが入力データをSQLコードとして解析し、それに応じて実行するため、攻撃自体が発生します。実行がプロシージャに到達したとき、攻撃はすでに成功しているため、SPレベルでそれから保護することはできません。
クエリをテキストとして作成する限り、クエリのテキストに関係なくSQLインジェクションが可能です。そうしない場合、または入力を適切にサニタイズする場合は、SELECTであろうと他の何かであろうと、SQLインジェクションは問題になりません。