Siempre que uses cadenas sql puede haber injection, puedes validar las cadenas
por ejm los textbox y otros que no permitan caracteres que te pueden generar un injection en sql