Опасно ли прямой запрос в базу данных ?

Всем привет!
краткая история - 
есть два сайта — один на основном домене, другой на поддомене, обои на последней версии движка, у каждого своя база данных
мне нужно получить данные пользователя из основного сайта на сайт который в поддомене, 
на сайте в поддомене который, я написал напрямую запрос в базу основного сайта и получаю данные пользователя нужного, всё работает
то есть прописываю напрямую типа так - 

<?php   
  $host = 'localhost';  
  $user = '********';    
  $pass = '********'; 
  $db_name = '*******';   // Имя базы данных
  $link = mysqli_connect($host, $user, $pass, $db_name); // Соединяемся с базой
 
  // Ругаемся, если соединение установить не удалось
  if (!$link) {
    echo 'Не могу соединиться с БД. Код ошибки: ' . mysqli_connect_errno() . ', ошибка: ' . mysqli_connect_error();
    exit;}   
 
   $user_data_podersh_do = mysqli_query($link, "SELECT `data_podderska` FROM `cms_users` WHERE email='$user_email'");
    $row = mysqli_fetch_assoc($user_data_podersh_do);
    $data_user_podder_do = $row['data_podderska'];
    $date_podd_format = (new DateTime($data_user_podder_do))->Format('d.m.Y');
    echo $date_podd_format;   
 
?>
 

всё работае как нужно, но так как только начал разбирается с базой, сомнения вообще правильный ли подход? какие последствия для безопасности? как по другому по правильному сделать ?
хотел через API но не нашел метода получения списка пользователей в компоненте от разработчиков
заранее спасибо

решил все таки делать через API — метод получение с другого сайта пользователей написал сам, работает, и вывести данные пользователей то же получилось на сайт донор, но вопрос по базе  данных что выше остаются открытым, спасибо

сомнения вообще правильный ли подход?

Для самописного сайта — правильный, но для любой cms правильнее использовать имеющуюся модель для работы с базой данных.

какие последствия для безопасности?

В данном случае никаких, если:

1. вы уверены, что к данному файлу никто из посторонних не имеет доступа и не сможет прочитать ваши доступы к базе укзанные в нем;

2. вы уверенны, что в переменную $user_email прилетит только email и ничто другое, что пользователь может забить себе в поле с email.

как по другому по правильному сделать ?

Продолжать дальше разбираться с базой и понимание прийдет.

вы уверенны, что в переменную $user_email прилетит только email и ничто другое

валидатор в настройке поля включён на email, этого хватит ?

Если в переменную в запросе передаются данные прошедшие проверку, то переживать не о чем.