Hola
Cuando puse $valor_previamente_verificado, me refiero a que uses el número de teléfono/clave que el usuario te ha enviado mediante el formulario que tengas, pero que antes de pegarlo en la consulta directamente lo valides de alguna manera.
Es decir, no hagas esto:
Código:
$sql= "SELECT * FROM tabla WHERE campo = $_GET[$telefono]"
Antes de eso, debes verificar que $_GET['telefono'] es un dato válido, para eso, deberás verificar, por ejemplo, que son números, que son tantos como hayas consiedrado (mínimo y máximo), que no tengan caracteres que no esperes, etc.
Mientras pruebas que tu script funciona, puees poner directamente el valor del $_GET, pero recuerda que la versión final debe tener algún tipo de validación de datos.
Felicidad