回帖：确保文件本身不是公开在外网上，只要文件本身不存在被篡改的可能性，就是安全的。
如果你的学长指的就是这个文件的话，就不是什么大问题，毕竟在文件中存放SQL，是常用的方式。
而且一般SQL注入，指的是网上请求的形式进行的，本地文件都是安全的。
所以你的代码其实是常用的，没什么风险的。