Cita:
Iniciado por cuasatar 
Aparte de lo que ya te explicaron yo haria una redireccion en caso de que la variable GET que mandan (en este caso no vacia) no correspondiera con lo que tu esperas (si esperas un número y te mandan un texto o viceversa por ejemplo) o si te mandan un texto que no da ningun resultado en la base de datos (y por ende se imprimiria un lindo error para que los atacantes tengan herramientas para hackear la pagina)
eso lo validaria , antes de enviar los datos , por ejemplo en la validacion de un formulario...
si , me pueden mandar inyecciones sql, y esa cosas, que despues las veo...
he usado esto en una consulta sql, por el tema de seguridad. aunque creo que hay mas cosas..
.strip_tags($_POST['correo'])