Ça ne te protège pas plus comme ça.
Entre le moment où tu récupères l'id du joueur et celui où tu l'utilise dans ta requête, tu dois t'être assuré :
- que c'est bien la bonne information que tu attendais (pour l'ID, tu attends un numérique, pas une chaîne)
- de l'avoir échappé pour éviter les injections SQL (mysql_real_escape_string() ou fonction personnalisée)
Entre le moment où tu récupères l'id du joueur et celui où tu l'utilise dans ta requête, tu dois t'être assuré :
- que c'est bien la bonne information que tu attendais (pour l'ID, tu attends un numérique, pas une chaîne)
- de l'avoir échappé pour éviter les injections SQL (mysql_real_escape_string() ou fonction personnalisée)