SQL инъекция — это внедрение стороннего SQL кода в код приложения. Если что-то лишнее / вредоносное появилось в базе данных, то это уже результат SQL инъекции.
В базе могут быть данные, приводящие к SQL инъекциям. Искать их не надо, надо писать код, который не даст злоумышленнику их использовать: php.net/manual/ru/pdo.prepared-statements.php
может ли вредоносных код быть записан и сохранен в базе данных
Может. Если кто-то получил доступ к БД. Не факт, что через SQL инъекцию.
Для правильного вопроса надо знать половину ответа
Может. SQL-инъекция второго порядка. Некоторая строка безопасным запросом добавляется в базу, а работает уже после её выборки и повторного использования в небезопасном запросе. Защита - любые переменные данные, хоть непосредственно переданные пользователем, хоть взятые из базы или конфигов, должны идти только через параметризованные запросы mysqli или PDO.
Теоретически, если из области паранойи, то можно сделать функцию и запускать ее внутренним планировщиком. Но это совсем лютая паранойя, тем более, что этот код будет изолирован и сможет работать только в рамках своих полномочий и только с данными в базе данных. Посмотрите планировщик и функции в базе данных.
Честно говоря такого я еще не видел и если найдете, то поделитесь с общественностью :)))
