si, si no haces bien las consultas a la base de datos

el servidor web no tiene nada que ver, lo que importa es que cuando haces una consulta sql y metes datos que vienen de fuera (en realidad es mejor hacerlo con todas las consultas, por precaucion) uses consultas parametrizadas

en php puedes hacerlo con PDO o mysqli entre otras librerias, usando consultas preparadas

lo que nunca, nunca debes hacer son consultas del tipo mysql_query("SELECT * WHERE id=$_GET['id']")