Si vos utilizas lo que se envia por GET en tus consultas SQL, está libre para que te puedan hacer una inyeccion en la base de datos, no te olvides que tanto el GET como el POST y es muy facil de manipular por el usuario de tu web, y si lo metés directamente en tu SQL, estarías permitiendo que el usuario maneje tus consultas SQL practicamente!