Cierto, aunque realmente hacerlo te puede traer más problemas que beneficios, ya que es un agujero de seguridad muy grande, lo mejor es enviar por separado los queries, y aún mejor usar Stored Procedures.