Como medida de protección siempre es mejor usar la funcion mysql_real_escape_string() sobre una variable recibida por GET o POST o COOKIE antes de utilizarla en una query. En tu caso seria asi:
Código PHP:
$sql = "DELETE from avisos WHERE id='".mysql_real_escape_string($id)."'";
Esto no está relacionado con tu problema pero al ver el código me pareció que te podía servir la información.
-ronnieb