Tillägget av is_numeric skulle inte göra detta till en mycket sannolik fullkomlig sql-attack, men is_numeric är bara inte särskilt exakt:
is_numeric('0xdeadbeef') // true
is_numeric('10e3') // true
Det är förmodligen bättre att använda filter:
if (false !== ($id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT))) {
}