Pobieram z adresu URL kilka parametrów, a później dodaje rekord do bazy, np.:

[PHP] pobierz, plaintext 
$x = $_GET['x'];
$y = $_GET['y'];
[PHP] pobierz, plaintext 

zapytanie wygląda tak:

[PHP] pobierz, plaintext 
insert into tabela values ('$x', '$y');
[PHP] pobierz, plaintext 

I teraz można dokleić do tego jakieś zapytanie gdyby ktoś poznał link do tego skryptu? Bo sql injection to chyba odpada bo nie działa przy insert? Czy mysql_real_escape_string w zupełności wystarczy?

Powiem szczerze że już od dłuższego czasu mam wiekszą stronkę online a dopiero teraz przez przypadek to znalazłem i zastanawiam się czy jest bezpiecznie próbuje sam siebie zaatakować

Zainteresuj się terminem bindowania w PDO.

nie chce pdo ani nic podobnego, chce po prostu poznać odp na moje powyższe pytanie

Nie, nie jest bezpiecznie. Nie ma znaczenia czy robisz insert, update czy delete.

Jak już koniecznie chcesz ściągać parametry z get-a do zapytania to pozbądź się wszystkich znaków nie alfanumerycznych. Np. wyrażeniem regularnym.

[PHP] pobierz, plaintext 
$pattern = '#([^0-9a-zA-Z]*)#';
$param = preg_replace($pattern, $_GET['param']);
[PHP] pobierz, plaintext 

PS. podaj linka do tej stronki. Też bym popróbował.

jeżeli są to współrzędne opisywane liczbowo, to możesz srawdzać, czy w gecie podawana jest liczba

[PHP] pobierz, plaintext 
is_numeric($_GET['x'])
[PHP] pobierz, plaintext 

zwraca true lub false
albo

[PHP] pobierz, plaintext 
$x = (int) $_GET['x'];/*jezeli to nie jest liczba to return 0*/
$y = (int) $_GET['y'];
if ($x > 0 AND $y>0) {
//zapytanie
}
[PHP] pobierz, plaintext