Seguridad $_GET

Hola a todos/as

Mi pregunta es si por GET me pueden llegar a mandar una sentencia SQL o un comando javascript que me hackeen la web?? Lo que hago es que envio unos parametros por GET y esos parametros son utilizados para hacer una consulta en la BBDD.
Si es posible que me puedan hackear de esta manera que me aconsejan??
Seria conveniente poner el htmlentities o daria igual?? Seria de hacer algo asi??

if(isset($_GET['loquesea'])){
$variable1=htmlentities($_GET['loquesea']);
$rs=mysql_query("select * from tabla where id='$variable'")or die("ERROR");
...
}

Un saludo y gracias

te pueden hacer un sql injection es siempre bueno comprobar lo que viene por get y no ponerlo directamente en el sql, es decir si es un n umero comprobarlo con is_numeric o comprobar con if etc...

Es recomendble comprobar lo que viene, si es numero pues ya sabes, ademas, si es una palabra o algo asi, revisa y compruebe, que es la palabra que tu esperas, sino pues enviar un mensage de error, o algo asi, puedes comprobar el tama~no de la cadena, si sobrepasa algun limite que tu pongas, es porque te estan intentando hacer un Injection, en fin revisar antes de hacer culquier cosa siempre es bueno.

Saludos