Возможна если есть какой либо пользовательский ввод, который вставляется в sql - запрос.
Например:

SELECT * FROM users WHERE name='$name'; -- Штатная ситуация
-- если в аргумент $name добавить - ' OR 1='1, тогда получится:
SELECT * FROM users WHERE name='$name' OR 1='1'; -- Совершенно меняется результат

Один из методов борьбы - хранимые процедуры.