Возможна если есть какой либо пользовательский ввод, который вставляется в sql - запрос.
Например:
SELECT * FROM users WHERE name='$name'; -- Штатная ситуация -- если в аргумент $name добавить - ' OR 1='1, тогда получится: SELECT * FROM users WHERE name='$name' OR 1='1'; -- Совершенно меняется результат
Один из методов борьбы - хранимые процедуры.