Hombre, yo uso un sistema algo rudimentario :D, por q no conozco otro :(.
Código PHP:
$result = mysql_query("SELECT * FROM TABLA WHERE id='".$_GET['id']."');
Meto el id entre comillas simples. Asi consigo q por lo menos pete si intenan algo.
Esto daria el siguiente resultado:
http://tusitio.com/uno.php?id=1%20UN...0TABLE%20TABLA Código PHP:
$result = mysql_query("SELECT * FROM TABLA WHERE id='1 UNION DROP TABLE TABLA');
Por lo tanto error. Pero se q no es una solucion muy buena. Si buscas por el foro encontraras algo seguro.