E' nella pagina articolo.php che devi controllare tramite la funzione mysql_real_escape_string() che il parametro che ti arriva non contenga cose strane, ma sia realmente l'ID che ti aspetti.
Inoltre puoi anche evitare di passare l'ID in GET passandolo come variabile hidden in POST oppure mettendolo in sessione.