Correcto, hay podrian hacer una consulta SQL indeseada (sql Injection)
Para solucionar este problema 100% tienes que usar la funcion de php mysql_real_escape_string
Código PHP:
if(isset($_GET['url'])){
$url = mysql_real_escape_string($_GET['url']);
database_connect();
$query = "SELECT * from articulos where url = '$url'";
$result = @mysql_query($query);