Die Überprüfung mit is_numeric() sollte grundsätzlich ausreichen. Wenn du keine prepared statements verwendest, kannst du den Wert zur Sicherheit trotzdem noch durch escapen zusätzlich absichern. Ausser es kommt dir auf die letzten Milisekunden Ausführungszeit an, dann kannst du es getrost weglassen.
