é relativo a permissão do servidor.

Se eu estou entendo, vc esta perguntando se e possivel o servidor atualizar as tabelas na hora que estivar executando o ataque? Sim e Possivel, e para burlar isso e necessario usar Tecnicas de Retardação de Atualização do Servidor, e esse tipo de Sql Injection e Chamado Time-Based Sql Injection..., bem de uma olhada sobre essa vulnerabilidade, e aprenda-a

Se a injeção for na query de update, óbviamente sim.Mas podem haver restrições em relação ao controle do conteúdo atualizado em função do ponto de injeção.Se for na clausula where, por exemplo, você só vai controlar onde os parametros são atualizados e não eles em si.
Exemplos:
UPDATE tabela SET coluna1='injecao aqui', coluna2='algo' ... -> controle total
UPDATE tabela SET coluna1='nao fornecido por voce', coluna2='injecao_aqui' ... -> controle total ou parcial a depender do banco de dados (i.e, qual o comportamento dele em relação a parametros repetidos (o mysql, por exemplo, usa a ultima referencia))
UPDATE tabela SET coluna1='fornecido por voce, mas sem injecao', ... WHERE alguma_coluna='injecao aqui' -> controle total no local de atualização e parcial dos dados atualizados
UPDATE tabela SET coluna1='nao fornecido por voce, sem injecao', ... WHERE alguma_coluna='injecao aqui' -> controle total no local de atualização e nenhum nos dados atualizados

Se a injeção for em outras querys, como a de select, vai depender se o conector usado aceita multi-querying ou não.No PHP, por exemplo, o PDO (vários DBs) e mssql (MS SQL Server) aceitam por padrão, já o mysql e mysqli (tem uma função especifica pra isso) não.

SELECT coluna1 FROM tabela;UPDATE tabela SET coluna1='dado'
Funcionaria no PDO e mssql como uma única instrução, mas não no mysql e mysqli onde deve ser separado, i.e:
mysql_query('SELECT coluna1 FROM tabela'); mysql_query("UPDATE tabela SET coluna1='dado'"); e não mysql_query("SELECT coluna1 FROM tabela;UPDATE tabela SET coluna1='dado'");

Não tem a ver com permissões nem com time based sql injection.
Abraço.