$id = mysql_escape_string(strip_tags($_GET['id']));php 7 de mysql_escape_string çalışmaz. 7 ise başka bir kod veririm 5.6 ya kadar bu işini görür. Sana injection atıyorlar. İd gelen değer içine ' atıp sorguyu kapatıp gönderdiği diğer kodu php gibi çalıştırıyorlar sıkıntın bu . Çünkü gelen get değeri süzmüyorsun yukarıdaki fonksiyon süzecektir.