Sí, es una inyección SQL, su intención es extraer datos de tu base de datos o si tiene permisos modificar alguna noticia con una consulta por ejemplo.

Para saber quien ha colocado eso puedes revisar los logs del servidor que suele traer la URL abierta y la IP.

Y para evitarlo pues filtra la variable ID, pasale alguna función antisql.

Salu2.