Y a eso le agrego una ' en el get, y te rompo todo de nuevo, quedaria algo asi:

http://tusitio.com/uno.php?id=1'%20DROP%20TABLE%20TABLA
$result = mysql_query("SELECT * FROM TABLA WHERE id='1' UNION DROP TABLE TABLA');

Para que esto no pase, dos cosas basicas. Una, nuca llamar directamenre al get dentro del sql, hacer algo como:

$var = isset($_GET["var"]) ? intval($_GET["var"]): 0; #Para el caso numerico

$result = mysql_query("SELECT * FROM TABLA WHERE id='".$var."');

Igual, como se inicio, a groso modo.

PD: Siguiendo lo basico, lo peor no es un drop, truncate o lo que sea, por que el backup siempre lo arregla todo, sino que te entren por la db al host, o roben info.

PD2: Un buen amigo para strings es la funciona addslashes.