Hay varias cosas a tener encunenta .. pero comenzando con:
mysql_escape_string() usando en las variables que introduzcas como parte de tus consultas podrías ir mejorando la seguridad de ese tema
Código PHP:
$sql="SELECT * FROM tabla WHERE id='".mysql_escape_string($_GET['id'])."'";
Luego está el tema de validar tus datos .. si sabes por ejemplo que ese "id" es numérico .. no aceptese nada que no sea numérico (is_numeric() si no me equivoco lo podrías ver ..). Si es una cadena .. mysql_escape_string() ya añade los slashs (\) a las comillas " o ' entre otros caracteres que podrian ser tomados como "ruptura" de tu condicional y empezar a tomar parte de la consulta SQL .. (eso .. junto con meter tu variable ente 'comillas')
Un saludo,