te digo algo mas?
es pesima practica, insegura, vulnerable y todo lo malo de programación insertar directamente un GET en una sentencia SQL, tienes que validar esta primero, si es numero lo que esperas, validarlo como tal.. si es string lo mismo, no puedes solo dejar el GET y ya... asi cualquiera puede cambiar el dato, insertar, etc... por medio de la URL directamente a la sentencia...