Sim. Isso é chamado de injeção de SQL. Em qualquer lugar os valores fornecidos pelo usuário são incluídos diretamente em uma instrução SQL, isso é uma possibilidade.