Да, вполне возможно. Если вы укажете строку, Reflection можно использовать для поиска функции по ее имени. И вызывайте его с любым аргументом, который хотите.
Однако это безумно опасная уязвимость системы безопасности, не улучшаемая тем фактом, что это WebServer. Подача пользовательского ввода в переключатель / корпус, который, по крайней мере, выполняет некоторые доступные функции фильтрации / ограничения - ближе всего к этому я когда-либо go.
SQL Инъекции плохие. Но это все равно, что вставить венозный катетер, а затем позволить случайным людям и их детям рядом с ним вводить все, что они хотят, в ваш кровоток.