Hola mi duda surgio ya que siempre he ejecutado consultas directamente con mysql_query() en distintas partes del Script PHP, y quisiera tratar de optimizar el proceso utilizando una funcion a la que solo se le pase el SQL y que esta se encargue de realizar la conexion, la ejecucion de la consulta, el cierre y el retorno del resultado.

Pero, ¿Es viable usar una Función en PHP y colocarla en un archivo por separado para poderlo incluir cuando lo necesite?

¿Es posible que alguien malintencionado arruine mi funcion php y mi sistema pierda toda funcionalidad?

Les agradeceria si con su experiencia me supieran orientar