Ciao,
se si comportano tutti come numeri (passano la prova di is_numeric(trim($stringa)) e il database non fornisce errori (ricavi comunque il record giusto) non hai nessun bisogno di filtrare ulteriormente, non ci sono pericoli.
Se invece devi anche mostrare a video il contenuto di
$_GET['id'] (occhio agli apici tra le quadre)

- Stampi l'id restituito dal db e non quello contenuto in $_GET

oppure

- applichi un preg_replace su tutto ciò che non è \d (ovvero un numero), ma mi sembra eccessivo