Hola, el problema es que no estas utilizando el parámetro adicional en ningun lado. En tu caso la variable $palabra solo entra y se pasa al link, lo que debes hacer es incluirla en tu consulta SQL con un WHERE.

1.-Es muy importante que filtres tus variables que recibes del navegador. Evitaras inseguridad.

Aca algo de info.

http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
http://php.net/manual/es/function.my...ape-string.php

2.- Mysql esta obsoleta, cambia a mysqli.

3.- No filtras la salida, eres propenso a XSS. Revisa esto
http://php.net/manual/es/function.htmlentities.php

Eso es como base.
Espero te sirva.

Saludos