is_numeric() разумеется пропускает 0xlalala, потому что это ЧИСЛО.

И даже если переменная в запросе не будет обрамлена кавычками (id=$id)

то всё равно инъекции не будет, база такое гавно не схавает

А если бы это было возможно, то все WAFы сосали бы сразу, т.к. по этой логике можно сразу весь запрос переводить в HEX и не парится )

PS Об этом свойстве is_numeric примерно раз в год все вспоминают\открывают заново и начинаются движения и исследования, которые ничем не кончаются, и снова забвение на год )