Siempre que hagas una selección de ese tipo, la consulta es vulnerable, habría que ver más bien como se forma tabla y codRegion, hacerles unos replace antes de formar la consulta, busca en la librería de funciones una que adaptaron para eliminar caracteres usados en la inyección de SQL. En otras ocasiones te diría que parametrizaras tu consulta, pero como en realidad es bastante dinámica tu consulta, no se podría hacer de la manera cotidiana. Además de hacer los replace, tendrás también que revisar los permisos de tu usuario sobre de Internet sobre la base de datos, y como manejas las excepciones en tu script, es decir, no querrás regresar el error explicítamente pues eso supone otra puerta abierta, son muchas cosas a considerar.

Saludos