но это кажется не сильно секьюрным, потому что пользователи могут поменять эту переменную и сами сформировать в скрипте, вместо автоматического сбора.
Лучше, конечно, передавать where user=osUser(), чтобы ему возвращались только его значения
ну да, самый вменяемый вариант. Более круто только уже на сервере делать как надо)