Si la pasas directamente por GET es por eso que te estan haciendo una inyeccion, si tu variable es del tipo INT es mejor comprobar:
Código PHP:
Ver original$id = $_GET['id'];
echo "ID no es numerico";
}
$id = (int) $id;
$query = "SELECT .. WHERE id=$id";
O aún mejor usar consultas preparadas con PDO para realmente limpiar mejor las variables (aunque siempre es bueno que compruebes los valores).
Recuerda:
NUNCA confies en el input que viene desde el cliente (cookies, get, post, archivos).
Saludos.