Si usas MySQL, esta la funcion mysql_real_escape_string()

También revisar que el id sea un numero, y en todo caso, castearlo a tipo entero.

casting = (int) $variable