saftmeister
Nutze den Saft!
Genau, und nicht nur die Benutzereingaben, auch die Sachen, die implizit übertragen werden (z.B. versteckte Formularfelder, Cookies, Dateien) - kurzum einfach alles, was irgendwie variabel ist, sollte nicht ungeprüft und nur gefiltert übernommen werden.
Du hast im übrigen eine Technik beschrieben und erkannt, welche sich SQL-Injection nennt. Denn man könnte statt der ID auch was völlig anderes an die URL hängen ;-)
Daher gleich der Rat: Verwende Prepared Statements und keinesfalls die veraltete Schnittstelle mit den mysql_xxxx-Funktionen.
