Ha nem rak az SQL sztringben köré aposztrófokat, akkor nem sokra jó a real escape string, csak csinál egy syntax errort legfeljebb, de egy csomó mindent le lehet kérdezni aposztrófok nélkül is. Ha tudja, hogy int lesz, akkor intval() lehet a célszerűbb, mint gyors hack. :)