A verdadeira questão é can that code be used for SQL Injection? e a resposta é absolutamente sim. Os dias de vândalos que formariam o seu disco apenas para espalhar o caos já se foram, hoje em dia os ataques são montados por indivíduos interessados em ganhos financeiros, eles geralmente usam o vetor de injeção SQL para adicionar seu host ao botnet, às vezes para roubar informações você pode ter, às vezes, para tirar seus reféns de dados e pedir resgate (criptografar e pedir compensação por descriptografia). Então, é improvável que eles emitam um format c: .
Pode o xp_cmdshell ser usado para emitir um comando como format c: ? Não por padrão, desde que o SQL 2005 o mecanismo desativa xp_cmdshell por padrão e um administrador tem para explicitamente ativá-lo de volta. Mas se estiver ativado, ele pode ser usado? Sim. O sistema operacional formatará a unidade c: Improvável. Nenhum SO hoje aceita um formato do volume do sistema.
Mas, afinal, o ponto é que o seu código não deve permitir a injeção de SQL .