Alles Escaping nützt nichts, wenn man es falsch anwendet. Angenommen, der Funktionsaufruf wäre so eingebunden, dass er wirken könnte, so beispielsweise:

Keine Frage da hast du schon recht, ich bin jetzt auch nicht näher daruf eingegangen, nur das es komplett umsonst ist wollte ich da jetzt nicht so stehen lassen. ;)

$res = mysql_query(sprintf("SELECT * FROM mitarbeiter WHERE abteilung = %s", intval($_GET["id"])));
$res = mysql_query(sprintf("SELECT * FROM mitarbeiter WHERE abteilung = %s", (int)$_GET["id"]));

Allerdings ist dein sprintf da oben bei einem typecast umsonst und erzeugt nur unötigen overhead ;) *scnr*

lf