Все данные которые участвуют при формировании запроса, необходимо экранировать с помощью функции mysql_real_escape_string и обрамлять скобками, кроме значения NULL.
$path=$_GET['path'];
mysql_query("UPDATE `paper` SET `hits` = `hits` + 1 WHERE `path` = '" . mysql_real_escape_string($path) . "'");
FALSE == '0'
TRUE == '1'
123 == '123'
NULL == NULL