Hola a todos/as

Mi pregunta es si por GET me pueden llegar a mandar una sentencia SQL o un comando javascript que me hackeen la web?? Lo que hago es que envio unos parametros por GET y esos parametros son utilizados para hacer una consulta en la BBDD.
Si es posible que me puedan hackear de esta manera que me aconsejan??
Seria conveniente poner el htmlentities o daria igual?? Seria de hacer algo asi??

if(isset($_GET['loquesea'])){
$variable1=htmlentities($_GET['loquesea']);
$rs=mysql_query("select * from tabla where id='$variable'")or die("ERROR");
...
}

Un saludo y gracias