Hola marcolandia.

Yo lo unico que le añadiria, seria, un addslashes, a la variable que recibes por get, para que no tenga ningun caracter extraño, aunque, no se que podrian meter para hacer daño a esa aplicacion tan sencilla, pero yo, por seguridad, todo lo que recojo externamente, ya sea, get, post, cookie, session, lo paso por addslashes, o htmlspecialchars, tu eliges.

Un saludo