En este tipo de casos, cuando recibes el id por get, el programador casi siempre declara los id como numeros en la base de datos.
Y como este tambien es tu caso, basta con que valides el get preguntando si es numerico. .o int.
Código PHP:
if(is_numeric($_GET["id"]))
{
echo "el id es numerico".
}
//o tambien con is_Int
if(is_int($_GET["id"]))
{
echo "el id es numerico".
}
Así aunque el hacker te escriba caracteres especiales o caracteres alfabeticos [A-Z]...
el script no correra pues estas validando que solo entren numeros.
Te dejo la documentacion :)
http://php.net/manual/es/function.is-numeric.php http://php.net/manual/es/function.is-int.php
Saludos.
PD: En el caso que esperes strings por GET, ahí entra a escapar la cadena .