POST GET yada REQUEST leri kontrol etmelisiniz.
direk alınıp kullanılmışsa sıkıntılı

SELECT fields FROM table WHERE id = "$_POST['id']";

bu tarz kullanımlarda post alanına

//post ettiği id      1; TRUNCATE TABLE table 
SELECT fields FROM table WHERE id = 1; TRUNCATE TABLE table 
//tablo temizlendi

tüm requesti mysql_real_escape_string ile süzmelisiniz.

SELECT fields FROM table WHERE id = mysql_real_escape_string($_POST['id']);

sql injection yada xss için kullanabileceğinzi diğer fonksiyonlar htmlspecialchars strip_tags