1) Почитайте про sql инъекции.
Пример
2) Я бы на вашем месте избегал использования для запросов $DB->Query. Вместо этого лучше использовать
D7 ORM .
Описываете таблицу классом, а потом используете выборки данный через
getList или
Query, если нужен специфичный запрос.
Ну и как уже сказали, надо проверять что то более конкретное. Из вашего описания, вообще не понятно, что вы пытаетесь сделать.