Significa che passi alla query il valore ricevuto in $_GET senza fare controlli, che non è una mai una grande idea.
Non so se l'hai notato, ma nel mio codice ho aggiunto gli apici dentro la query intorno al valore dell'id_galleria.
Già questo può evitare problemi di tipo sql injection, ma se, come suppongo, quello deve essere un valore numerico, faresti bene ad accertarti che lo sia davvero, prima di darlo in pasto al database.