a eso se le llama
SQL Injection, es una pena que tu programador PHP sea tan descuidado... o quien halla sido, la verdad me da vergüenza!!
sin ofender... claro..
por ejemplo, lo del ID ... si siempre es numérico... usarlo directamente en una consulta, sin escaparlo es inseguro... de ahí que tu seguridad este por los suelos... (
que bueno que no publicas la dirección del sitio)
así es como debería ser.. aunque hay mas formas
Código PHP:
$id = (int) $_GET['id'];
$sql = "SELECT * FROM tabla WHERE id = $id";
con la magia de convertir la variable GET en entero.. evitamos toda la inyección de SQL....