$query_bloqueo_ip = mysqli_query($link,"
INSERT INTO black_ips (ip,motivo,id_usuario,timestamp) VALUES (
'$global_ip_usuario',

Aquí, por experiencia te digo, pueden acceder indicando ya no una ip falsa, si no una ip imposible, por ejemplo ' or 1=1, es decir, si no filtras dicha ip, podrían estar inyectando código