если в запрос типа такого "... where id = $id ..." то от инъекции не защитит
в цифровых параметрах лучше использовать приведение к типу или is_numeric()