Могут ли быть SQL-инъекции в базе данных?

SQL инъекция — это внедрение стороннего SQL кода в код приложения. Если что-то лишнее / вредоносное появилось в базе данных, то это уже результат SQL инъекции.

В базе могут быть данные, приводящие к SQL инъекциям. Искать их не надо, надо писать код, который не даст злоумышленнику их использовать:
php.net/manual/ru/pdo.prepared-statements.php

может ли вредоносных код быть записан и сохранен в базе данных

Может. Если кто-то получил доступ к БД. Не факт, что через SQL инъекцию.

Может. SQL-инъекция второго порядка. Некоторая строка безопасным запросом добавляется в базу, а работает уже после её выборки и повторного использования в небезопасном запросе. Защита - любые переменные данные, хоть непосредственно переданные пользователем, хоть взятые из базы или конфигов, должны идти только через параметризованные запросы mysqli или PDO.

Теоретически, если из области паранойи, то можно сделать функцию и запускать ее внутренним планировщиком. Но это совсем лютая паранойя, тем более, что этот код будет изолирован и сможет работать только в рамках своих полномочий и только с данными в базе данных. Посмотрите планировщик и функции в базе данных.
Честно говоря такого я еще не видел и если найдете, то поделитесь с общественностью :)))

Строго говоря SQL-инъекция нужна для доступа к БД если вы получили доступ то нет смысла её туда записывать

В зависимости от криворукости разрабов - могут, но чаще в БД будут xss