Cuando pasas variables por get las variables se visualizan en la URL de tu página. Esto es peligroso, no ya porque se pueda meter código en las mismas (que también) sino porque puede crear situaciones no controladas por tu código.

Por ejemplo, usando lo tuyo. Si alguien pulsa el botón de "Ventas" y ve que la URL pone:
ampliar.php?transaccion=ventas

Puede poner él a mano en la barra de direcciones algo como esto:
ampliar.php?transaccion=hola_manolo

Y si no lo tienes controlado, te dará error la página. Y esto es únicamente un ataque no malicioso, pero se puede dar un paso más e intentar hacer inyección SQL, cerrando la consulta en curso y agregando otra, para obtener datos de la base de datos.

Un saludo.

PD: Esto de la seguridad es todo un mundo aparte.