Det spelar ingen roll om det är en rullist som skickar parametern. Det går alltid att göra manuellt, och därför bör du alltid kontrollera inparametrar som ska skickas till databaser.
Exempelvis om artist_id bara får innehålla siffor:
if(preg_match('/^[0-9]+$/', $inData)
// gör något
else...