Если какой нибудь способ обойти такую зашиту от sql injection:
if(preg_match('/[^\w-]/',$_POST['id'])) die("wrong <b>id</b>");
далее по коду $_POST['id'] свободно вставляеться в гвери без каких нибудь дополнительных проверок, как я понимаю preg_match бинарнобезопасная функция и ей пофигу на нуль байты и etc.