Опасно ли это

Опасно ли делать такой запрос в простом коде 
<?
echo 'шапка';
$db->query("UPDATE `users` SET `test` = '1' WHERE `users`.`id` = $systemUser->id;");

echo 'информация странице';

echo 'ноги';
?>

и как обезопасить в случае если такой код можно как-то использовать для проникновение в бд и других запросов с этого файла

конкретно этот вариант безопасен.
Фильтровать надо в том случае если данные, которые подставляются в запрос приходят от пользователя.

Simba, То есть если поле ввода в которую пользователь может вписать свои данные?
А если через адресную строку будет вводить, не сработает?

сработает и через адресную строку.

Simba, Нет,  я о том что если в адресной строке будет пытаться прописать другой запрос который не в коде