Нельзя так делать! SQL-injection - это, конечно, всё выдумки и враки, да-да.
Сделайте публичный API, который принимая необходимые параметры, после их последующей фильтрации, после их проверки на валидность будет собирать и выполнять SQL запрос, отдавая ответ в json-формате, который клиент без проблем поймет и разберёт.
