hai perfettamente ragione, ma era l'esempio per risparmiare una funzione provala cosi

function two()
{
$sql = 'SELECT campo FROM tabella';
if (isset($_GET['ordinamento']))
{
switch($_GET['ordinamento'])
{
case 1:
$sql .= ' ORDER BY campo ASC';
break;
case 2:
$sql .= ' ORDER BY campo DESC';
break;
}
}
return $sql;
}

cosi penso non ci sia il pericolo delle sql injection