Přidání is_numeric by to nedělalo velmi pravděpodobný plnohodnotný SQL útok, ale is_numeric není příliš přesné:
is_numeric('0xdeadbeef') // true
is_numeric('10e3') // true
Asi je lepší použít filtry:
if (false !== ($id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT))) {
}