Este código sigue siendo vulnerable, si se pasa por POST o por GET, la varible va a seguir teniendo el mismo valor, y por lo tanto el mismo efecto.

Un hacker con conocimiento decentes de HTTP, podría mandar la siguientes instrucciones al servidor:

POST /pagina.php HTTP 1.1\n\r
Host: midominio.com\n\r
\n\r
\n\r
variable: ';+DROP+TABLE+table_name

Y tendría el mismo efecto que pasarlo por GET, una de las soluciones es usar un validador de datos introducidos por el usuario como htmlpurifier, es un poco pesado y lento pero hace su trabajo. En realidad una inyección como esa es lo mejo que podría pasar, porque si usas una conexión con usuario con muchos privilegios hasta, colgal el servidor se podría lograr.