mysql_query restituisce false perché c'è un errore. Prova a vedere cosa ti restituisce mysql_error() per capire di cosa si tratta.

Riguardo alla sicurezza ci sono due cose:

- non usare le funzioni mysql_, sono deprecate, usa mysqli_ o meglio pdo.
- non passare mai una variabile non validata dentro una query sql e guardati come funzionano i prepared statement.