$id = $_GET['id'];
$sorgu = mysql_query("select * from tablo where id = '".$id."'");
index.php?id=1' and delete from tablo
şeklinde gelirse ne oluyor 1 kısmı id = '1 e denk geliyor 1 den sonra gelen ' sorguyu bitiriyor daha sonra and ile ikinci sorguya geçip tablo nu silme işlemi gönderiyor. Sen gelen tüm get yada post değerlerini filtrelemen lazım.