te pueden hacer un sql injection es siempre bueno comprobar lo que viene por get y no ponerlo directamente en el sql, es decir si es un n umero comprobarlo con is_numeric o comprobar con if etc...