mysql_real_escape_string() Vs IsNumeric()

Hola,

La pregunta que se me ha planteado es la siguiente:

Tengo una función F1($valor) que passa por parámetro un valor a otra función F2($valor). Esta segunda función tiene el papel de crear una sentencia sql para crear un update a una base de datos de un campo con el valor pasado por parámetro.

Mi pregunta es que si es suficientemente seguro hacer un IsNumeric($valor) en la segunda funcion antes de crear la sql?

ejemplo:
[I]
Si (IsNumerico($valor){
UPDATE "nombre_tabla" SET campo = $valor WHERE id="1"
}

o debo usar el mysql_real_escape_string() ?

Gracias

Por lo que yo sé, en esa consulta donde solo se le pasa 1 valor y obligamos a que sea numerico, con isnumeric() lo tienes totalmente controlado.

Te busque este link sobre SQL Injection: http://www.securiteam.com/securityre...DP0N1P76E.html

En el punto 8 dice:

For numeric value, convert it to an integer before parsing it into SQL statement. Or using ISNUMERIC to make sure it is an integer.