Algo que veo que nadie te marco, estas usando para las querys SQL los datos que levantas del GET sin ningun tipo de filtro. Ese script es vulnerable a injecciones SQL, no le tomaria mas de 2 min a un atacante robarte o borrarte toda la base de datos.