Para no dejar este tema sin respuestas. Dado que tu id viene de la URL, debes de filtrar su contenido antes de usarlo. Haciéndolo directamente estás exponiéndote a algunos tipos de ataques, como XSS. Una forma práctica en este caso sería usar htmlentities(), y si tu valor siempre va a ser un entero, mejor defrente pedir su int val (intval()).

Un saludo,