sinceramente hoy en dia no hay nada seguro ,no soy nigun experto tu date cuenta de que si puedes meter una consula sql en el array y lo pasas a travez del sql estas pasando la consulta , de tal forma a las variables pasadas por url se pueden asignar valores, carateres , ect.. url\?$matriz="laconsulta"; y yo cojo y hago url\?$matriz="Select user,pass from table_users" , te quito la laconsulta y meto esto , tp soy un experto y no sabria como hacerlo pero no se me da q pasar la consulta por la url no es nada seguro, hoy en dia ya te hace injeccion de codigo sql sin ejecutar la consulta por url, yo te recominedo q pases las variables solo por url.