Cita:
Iniciado por Ronruby 
Eso no evita los ataques de inyección SQL en lo absoluto. Para evitar ese tipo de ataques es necesario que si la variable es numerica castearlo a int o si es una cadena usar mysql_real_escape_string
podes creer, mientras dormia pensaba en eso...
una herramienta utili es
INT()
para asegurarte que solo ingresen numeros.