Ja ID, tad pietiek ar cast'ingu uz (int)
$dati = mysql_query("SELECT * FROM users WHERE id = " . (int)$id);
Ja virkne var būt jebkas, tad jālieto mysql_real_escape_string VIENMĒR, nevar būt nekādu atrunu nelietot. Jo tev ir jābūt tādai nostājai, ka JEBKĀDI dati, kas nāk no lietotāja ir potenciāls ļaunums ($_GET, $_POST, $_COOKIES, u.c.)
Vispār darbam ar db ieteiktu lietot kādu abstrackijas līmeni, jeb tā saucamo ORM.
Pats personīgi lietoju un slavēju RedBeanPHP - http://redbeanphp.com/manual/about
Ja saņemsies un apgūsi - nenožēlosi :)