Imaginemos un sitio web que permita a los usuarios registrarse e iniciar sesión solo con su dirección de correo electrónico.
¿Es posible realizar una inyección de SQL de segundo orden en ese caso?
Es posible realizar un ataque de inyección SQL en cualquier lugar que el sistema coloque los datos definidos por el usuario (en este caso, el nombre de usuario) directamente en una consulta SQL sin desinfectarlos primero.
Entonces, la respuesta a su pregunta es sí, es posible, dependiendo del comportamiento del sistema en cuestión.
Lea otras preguntas en las etiquetas sql-injection injection