Du solltest sowas immer per POST machen!
Siehe: http://de.wikipedia.org/wiki/XSRF
Edit:// Ok, also die Sache mit dem POST steht zurecht unter "Unzulängliche Abwehrmaßnahmen". Da ich aber denke, dass du kein Shared-Secret System eingebaut hast und das auch vorerst nicht vor hast, würde ich trotzdem zu Post raten. Es gibt auch noch andere Gründe, z.B. die Begrenzung der URL-Länge oder dass GET-Daten in den Server-Logs stehen, wo sie nichts zu suchen haben usw...

Ansonsten: $_POST['key'] und $_GET['key'] geben alle die Daten bereits dekodiert
zurück. Wie machst du das?

Und wegen mysql_real_esacpe_string: Informiere dich mal über Magic Quotes und stripslashes. Die meisten Server wenden vorher bereits eine ähnliche Funktion auf alle Elemente im $_POST-, $_GET- usw. -Array an. Dann muss man Magic Quotes entweder ausschalten (bessere Idee) oder vorher nochmal mit stripslashes drüber gehen. (schlechtere Idee)

Mit freundlichen Grüßen,

Valle