So sollte man das nicht tun. Du hast weder vorher geprüft, ob $_GET['ID'] nur gewünschte Werte enthält noch hast du dafür Sorge getragen, dass die unerwünschten Werte keinen Schaden anrichten können (Stichwort: SQL-Injection).

Da hast du vollkommen Recht!
Ich versuch' das nächste Mal d'ran zu denken.