diciamo che se usi quel modo di programmare può succedere che una nave atterri direttamente sulla tua macchina, l'albero della nave si spezza e cade sul tuo motorino, la ruota anteriore del motorino si stacca e rotolando ti picchia contro lo stinco della gamba destra e rimani zoppo per un tempo variabile che va da 5 a 10 ore.
i problemi di sicurezza non riguardano sql injection o problemi "dall'esterno" più che altro sono un problema di gestione delle variabili e di scope delle stesse.
poniamo che da un form passi un campo che hai chiamato id
nella pagina che accetta questi dati interroghi il db per estrarre una lista di valori e (per sbaglio) utilizzi la variabile id in modo temporaneo per memorizzare l'id del record che stai analizzando.
in uno scenario del genere, estremamente banale (immagino però che la tua applicazione sia più complessa e di conseguenza sia più difficile individuare questo genere di problemi) rischi di sovrascrivere il valore passato come parametro con il metodo post scrivendoci il valore che viene preso dal db.
Quando effettivamente ti serve recuperare il valore passato ti puoi trovare valori che non corrispondono a quello che ti aspetti.
un utilizzo corretto (quindi usando l'array associativo $_POST) consente di scrivere codice più pulito, di più facile lettura da parte di altri programmatori, il che non fa mai male, e di ridurre il rischio di errori di programmazione.
Già sono tantissimi i rischi di errore di programmazione, io ti consiglio di utilizzare tutti gli strumenti possibili messi a disposizione di php per evitare almeno gli evitabili.
per farti un esempio php è un linguaggio non tipizzato, vuol dire che le variabili non hai la necessità di dichiararle ed inizializzarle (anche se quest'ultima fase è altamente consigliabile).
Questo ti può consentire di memorizzare una stringa in una variabile che tu hai deciso essere per un intero.
PHP non fornisce strumenti a livello di linguaggio per evitare questo genere di rischio di programmazione e quindi sei tu, programmatore, che devi prestare attenzione a non incapparci. Altri linguaggi come possono essere il c, c++ etc sono altamente tipizzati e aiutano in qeusto senso a restare sui binari.
concludendo:
concordo con gli altri nel sostituire tutti i punti del codice dove hai utilizzato il metodo deprecato che prevede che il file php.ini sia configurato con la variabile REGISTER_GLOBALS=1 (cosa che oramai non trovi più da nessuna parte se non in server dedicati dove l'ambiente te lo fai come serve a te).