Estimado , muy buen aporte , tendria para hacerle unos comentarios que creo le seran de utilidad para mejorar las tecnicas de programación y aplicar seguridad en sus desarrollos.

Por empezar en que punto usted securiza los datos de recibe por parte del usuario?..yo no veo dicha etapa de purificado de los datos , mi recomendación es trabajar con PDO para manejar los acceso a la base de datos.Le explico todo profesional o amateur cuando desarrolla un software debe pensar en manejar la consistencia y la portabilidad de los datos , es decir PDO es una capa de abstracción que tal como dice el nombre abstrae al programador de reescribir una y otra vez la capa de acceso a la base de datos.

Pero el punto en su aplicación es más sencillo de resolver ya que es un simple ejemplo y nada más, con lo cual con mysql_real_escape_string ya bastaria para añadir un poco más de seguridad al script.

Saludos y espero que le sea de utilidad mi sugerencia.