Únicamente en las variables session puedes estar tranquilo cuando le asignas tu desde PHP un valor, ya que se guardan en el servidor, todas las demás pueden ser manipuladas.

Aunque le apliques el valor a la variable y se la pases por GET, ¿Quien te asegura que un usuario malintencionado no va a cambiar ese valor desde la URL para realizar operaciones que desde la web en si no se podría? ¿O que un usuario no va a editar las variables de la cookie para realizar una inyecion de código?

Siempre hay que realizar comprobaciones, y cuantas mas mejor, pasas el ID por get? pues podrías realizar todo lo comentado en los otros post, htmlentities...addslashes... y aparte, comprobar que es un INT, y que no es un string, así sería prácticamente imposible realizar nada desde esa variable.


Un saludo