dipende da cosa fai con quello che ottieni via get, se i dati sono usati per fare delle query o per azioni a livello di filesystem (inclusione, scrittura file ecc ecc) il pericolo è alto

Di regola si dovrebbe spulciare minuziosamente i dati in arrivo, ad esempio se ti aspetti un id numerico intero devi controllare che sia effettivamente un id valido e poi prevedere controlli ulteriori.

Se ad esempio è l'id di un contratto per vedere i dettagli del cliente, devi controllare che il rivenditore sia autorizzato a vedere quei dati (deve essere un suo cliente) per evitare l'errore comune che permette modificando a mano il valore dell'id di vedere i dati di tutti i clienti