Scheinbar ist schon alles gesagt.

Aber, damit das nicht untergeht hier noch mal die wichtige Nachricht von Rolf B:

So - und nun hast Du ein Problem, denn der GROUP BY kommt aus der SQL Injection und damit ist der Angriff offenbar durch deine addslashes Maskierung durchgekommen. Entweder hast Du addslashes an dieser Stelle vergessen, oder irgendwie seinen Input statt des Outputs verwendet.

Ansonsten hätte ich noch folgenden Kommentar:

Sieht aus wie ein Angriff auf eine hackbare Version von MyBB. Auch sowas ist absolut Alltag, das erlebt jeder ein paar Mal und es ist nicht gegen Dich gerichtet.

Wenn Du willst, dass die Angreifer, die Dir Unsinn schicken, damit aufhören, dann solltest Du sicher stellen, dass die eine Fehlermeldung mit einem Fehlercode (un sei es der 404er) bekommen.

Um den lästigen Angreifer loszuwerden würde ich zusätzlich vor dem Abarbeiten von auch nur irgendwas prüfen, ob $_GET['TID'] etwas anderes als Ziffern enthält und den Request (da auch ich ja auch ein Spaßvogel bin) mit Errorcode 418 („I'm a teapot“) ohne weiteren Inhalt abweisen.

Auch fail2ban kann helfen und ggf. IP-Adressen, die zu oft im error-log auftauchen der Firewall zu Sperrung vorschlagen.