Hallo Rolf,

ergänzend:

Andernfalls gibt's in mysqli die Methode real_escape_string (die heißt aus historischen Gründen so) und in PDO gibt's quote.

… was in dem Fall hier aber nicht ausreichend würde, dafür müssten im Query noch Anführungszeichen um $ID1 stehen, sonst könnten mit der Übergabe von 1 OR 1 immernoch alle Datensätze gelöscht werden.

Aber wie schon gesagt: besser immer prepared Statements verwenden, dann spart man sich das escapen.

Gruß,
Tobias