Cita:
Iniciado por da2 
El codigo no esta entero.
La pregunta es si pongo la consulta a la BD dentro de un IF en el que se ejecute el código si el valor de $id esta entre los números 1 al 27 hay posibilidad de que te inyecten codigo SQL.
Si es que no haces ningún tipo de conversión a entero del valor de $id, si.
El siguiente ejemplo demuestra lo que digo:
Código PHP:
$id = "1' or 1 #";
if ( $id > 0 && $id < 27 ) {
$consulta = "SELECT * FROM tabla WHERE id = '$id'";
echo $consulta;
}
Saludos