必ず数値ってわかってるなら、intvalしてそれ以外は普通に mysql_escape_string 使っておけば。
%は別にエスケープ。