sarabandejp:

PHP 公式マニュアルの SQL インジェクションのページには数値の扱い方がきちんと明記されている。

アプリケーションが、数値入力を期待している場合、データを is_numeric() で検証するか、 settype() により暗黙の型変換を行うか、 sprintf()により数値表現を使用することを検討してみてください。

サンプルコードも掲載されている。

settype($order, 'integer');
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET...