non è esattamente il massimo... imho
per funzionare funziona, ma l'importante è forzare l'escape

ossia:

function e($s){return mysql_real_escape_string($s);}

mysql_query("

SELECT * FROM
db
WHERE
id = '" .(int)$_GET['id'] . "'
OR
testo = '" . e($_GET['text']) . "'

");