Du prüfst ganz am Anfang if (is_numeric($_GET['id'])) - nur wenn das erfolgreich ist, lässt du das Skript weitermachen. Denn wenn ID eine Zahl ist, kann sie nichts anrichten - auch dann nicht, wenn es eine falsch ID ist, denn das prüfst du dann über andere Abgfragen oder z.B. direkt im Query.

0xFF ist numerisch und kann trotzdem ggf. die Abfrage kaputt machen - is_numeric() ist nicht geeignet.