Öhm, ich versteh nicht wirklich, was SQL Injections mit globalisierten Variablen zu tun haben sollen. Generell würde ich zwar eher dazu neigen, die Variable als Parameter an die Funktion zu übergeben (ggf. als Referenz), weil ich das irgendwie einfach sauberer finde, aber ich sehe keinen Grund, warum man eine globalisierte Variable nicht in einem mySQL Query verbauen sollte (besonders wenn man sie entsprechend verarbeitet vorher).