Si lo pensas un poquito, no mucho, tendrás la respuesta...

Y no es de malo, pero realmente, no hay que pensar mucho para saber si es o no peligroso :S


En cambio, pasá solo valores integer (en lo posible, del tipo: .php?marca=1&modelo=162) y en el php armas la consulta, eso si es seguro si tratas bien la variable al meterla en tu query.