Scriptinizin yapısını bilmiyorum ancak bu sql injectiondan çok xss e benziyor.
Tahminimce d gibi birşey ile idyi çekiyorsunuz.

$d = htmlspecialchars($_GET['d']);

şeklinde bir değişken işinize yarayabilir Deneyip sonucu yazarsanız sevinirim. Kolay Gelsin.