aldığınız değer zaten sayısal bir ifade.
$catid = $_GET["id"];
bunun için şöyle birşey yapacaksınız.
$catid = $_GET["id"];
if(!is_numeric($catid)){header("location:index.php");exit("");}eğer ki sayısal ifade değilse
$deger=$db->escape($_GET['deger']);
gibi.
escape bunun için yeterli oluyor mu?