Da quel punto di vista ci sarebbe molto da dire, ti converrebbe leggere qualcosa sulla sicurezza, per esempio come evitare "slq injection", ma a grandi linee:
- verifica che i dati numerici siano davvero dei numeri e non contengano altri caratteri, una cosa alla buona è mettere (int) davanti alla variabile, così viene convertita in un numero intero, ma non è detto che il dato sia coerente con ciò che dovrebbe rappresentare.

- tutte le variabili che devono contenere stringhe passale alla funzione mysql_real_escape_string()