Dies trifft genau _hier_ nicht zu. Er übergibt nicht den Wert von $_GET['what'] in den Query sondern entscheidet anhand dessen Wertes, ob "links_groups" oder "links" bzw. "group" oder "id" in den Query eingesetzt werden sollen. Und die sind im Skript fest vorgegeben.

Zumindest von $_GET["which"] wird in dem geposteten Codeteil keine nähere Prüfung gemacht. Aber auch sonst bin ich der Meinung, dass man besser GET-Parameter vorher überprüfen und dann immer in normale Variablen schreiben sollte. Dann kann man ganz einfach sagen, das alle $_GET, $_COOKIE und ähnliche Varibablen ungeprüft sind und potentiell Mist enthalten, während normale Variablen vorher (zumindest grundlegend) überprüft sind und nur das enthalten, was sie auch enthalten sollen.