Por ejemplo:
Código
O lo filtras de manera cutre
Ejemplo:
Código
Seguramente tendrás un sqli.
Para evitarlo puedes hacer uso de funciones como
Código
Y otras cosas como por ejemplo, si sabes que vas a recibir una variable numerica (entero), usar (int) que convierte cualquier carácter a entero.
Ejemplo:
Código
$_GET['valor'] = (int)$_GET['valor'];
Saludos