$query = "select * from {$_GET['gal']} where id={$_GET['id']}";

Fehler 4: Traue niemals dem, was Du von draußen bekommst, die Welt ist ganz fürchterlich böse.

$query = "select * from ".mysql_escape_string($_GET['gal'])." where id=".mysql_escape_string($_GET['id']);

Gruß,
  soenk.e