Hallo

Du bedenkst sicherlich auch, dass Register_gobals auf (hoffentlich) off ist

Uhm.. auf meinem lokalen WAMP nicht.. schlecht?

Ja. Lies ein wenig im Archiv dazu, das wurde scon otmal behandelt "register_globals" wie gesagt als Suchbegriff nehmen.

Muss ich das in den SQL-Befehl einbauen oder $id=$_GET['id']; eingeben?

Wenn du einfach dort immer $_GET['id'] schreibst und id nun nicht überliefert wurde, bekommst du eine Warnmeldung. Es empfiehlt sich also immer, die Daten entsprechend zu überprüfe. zB so:
$id = isset($_GET['id']) ? $_GET['id'] : "WertWennIDnichtGesetzt";
das überprüft, ob id gesetzt ist. wenn ja, wird in $id jener parameter gespeichert, ansonsten hinten der defaultwert. Danach kannst du im Script mit $id arbeiten.
Lies vielleicht auch
12.1. Wie unterscheide ich böse Variablen von guten?
http://www.dclp-faq.de/q/q-security-variablen.html
und
12.11. Prüfe importierte Parameter. Traue niemandem
http://www.dclp-faq.de/q/q-sicherheit-parameter.html

Keine, das ist ja der Spaß. Es wird einfach eine leere Seite mit verkrüppeltem <img> zurückgegeben.

Ah, eine wertvolle Info, die bisher noch nicht da war. Aber es sollte eigentlich wie geschrieben an den ' liegen.

Grüße
  David