XSS позволяет злоумышленнику обмануть ваш веб-сайт, чтобы вставить код Javascript там, где вы ожидали выводить простой текст.
Теоретически, Javascript может создать запрос AJAX обратно на веб-сайт и попытаться сделать запрос POST с вредоносным контентом, содержащим синтаксис SQL, к конечной точке AJAX, а код для этой конечной точки использует содержимое в запросе SQL.
Но если запросы SQL на веб-сайте уже не подвержены внедрению SQL, то Javascript не может сделать их уязвимыми.