saftmeister
Nutze den Saft!
Dieses Problem hast du bei ALLEN Nutzereingaben. Du musst die Daten IMMER überprüfen!
Genau, und nicht nur die Benutzereingaben, auch die Sachen, die implizit übertragen werden (z.B. versteckte Formularfelder, Cookies, Dateien) - kurzum einfach alles, was irgendwie variabel ist, sollte nicht ungeprüft und nur gefiltert übernommen werden.
Du hast im übrigen eine Technik beschrieben und erkannt, welche sich SQL-Injection nennt. Denn man könnte statt der ID auch was völlig anderes an die URL hängen ;-)
Daher gleich der Rat: Verwende Prepared Statements und keinesfalls die veraltete Schnittstelle mit den mysql_xxxx-Funktionen.