Hola gente.
Cuando sabemos que una variable va a tener solamente valores NUMERICOS. es suficiente hacer: (int) antes de la variable? o es necesario escribir el "mysql_real_escape_string"???

o sea, esto es valido y 100% seguro?:
mysql_query("SELECT * FROM personas WHERE id_persona = '".(int)$id."'");

Aparte de lo que te han dicho, se podria hacer que se tome el tipo de variable ( gettype() ) y con condicionales (un if, por ejemplo) haga X en caso de ser entero, sino...Y.

Podria ser otra opcion.
Zalu2

Si lo que se quiere es un dato entero, el (int) te servira perfecto para las SQLi
Zalu2