Прежде, чем выполнять запрос
$res = mysql_query("SELECT * FROM news WHERE id = '.$_GET['id'].'");нужно сначала проверить значение переменной id. В данном случае переменная id имеет числовой тип и должна принимать только целочисленное значение. В таком случае помогает функция intval, которая преобразует переменную к целому типу.
$_GET['id'] = intval($_GET['id']);Таким образом мы исключаем возможность внедрения SQL-запроса.