A injeção de SQL é, basicamente, adicionar código extra à consulta. O ataque em si ocorre porque o servidor analisa os dados de entrada como código SQL e os executa de acordo. Você não pode se proteger dele no nível SP, porque quando a execução chega ao procedimento, o ataque já foi bem-sucedido.

Portanto, desde que você construa suas consultas como texto, a injeção de SQL é possível, independentemente do texto da consulta. E se você não fizer isso, ou se você higienizar adequadamente sua entrada, novamente, a injeção de SQL não deve ser um problema, seja SELECT ou qualquer outra coisa.