My bad, pensavo che $data fosse un'istanza di mysqli. Ha poco senso incapsulare mysql_connect, mysql_query e poco altro in una classe, d'istinto ho pensato fosse altro.
ma aldila' di questo non saprei come filtrare nella query i dati della tabella sul campo localita'.
Una è fare l'escape con mysql_real_escape_string, l'altro è usare prepared statements (l'estensione mysql in questo caso non lo permette). Che problemi hai a fare l'escape? Perché dici che mysql_real_escape_string non è utilizzabile?