Как можно замутить иньекцию если стоит запрос
$mysql_query="SELECT * FROM что-то ORDER BY".$_GET['sb'];

?