Nunca debes pasar una consulta SQL por el URL (sea en un array o como sea) ...

Lo que debes es pasar tus variables con sus valores que luego compondran tu sentencia SQL adecuada ..

No sé el objetivo de pasar tu sentencia SQL a ejecutar (podría ser una especi de GUI para Mysql?) .. bueno .. si fuese así, debes implementar un buen sistema de filtrado de esa variable que va a contener tu sentencia SQL y sólo aceptar las sentencias SQL que permitas hacer .. por ejemplo .. Si sólo vas hacer un "SELECT" .. descarta cualquier palabra tipo "DELETE" .. "UPDATE" .. etc que pueda llegar de ahí por una alteración de tus datos (URL/campos).

En otros casos podrías usar sesiones en lugar de propagar ese dato por el URL .. generas tu variable de sesión donde lo originas y lo lees en el scirpt que pasas. De esta forma no circulará por el URL ese dato "sensible" de ser modificado . .No obstante no está de más validar lo que anteriormente te he comentado.

Un saludo,