php'de parametre filan vermek varmı bilmiyorum ama, $id=$_GET["oyun"]; ile getirdiğin $id'de regex ile a-z 0-9 ve - harici tüm karakterlerin silinmesini sağlarsan injectionu engellersin.