Ho provato come mi hai detto tu...
non ho più l'errore ma visualizzo i campi che non dovrei visualizzare!
Cioè: non devo visualizzare la riga dove nel campo 'non_possono_vedere' c'è il valore dell'utente che sta effettuando la query --> $user (nell'esempio user=122)