Morgen,

es gibt, wie so oft, mehrere Lösungsansätze, die abhängig von der Konfiguration des Systems zum einsatz kommen können:

Methode GET:

Der QUERY_STRING, den Du in Deinem Script mit
    document.location.href="?form=" + box + "&del=" + id [+ ...]
    erstellst, kann für die spätere Scriptvariable $_GET['del']
    mehrere Werte enthalten. Im simpelsten Fall, wenn das Zeich-
    en "_" (ASII 95) nicht vorkommt, nimm dieses als Trenner und
    erstelle den Wert für var id im JavaScript des Dokumentes
    mittels einer Schleife.
    Aus Serverseite kannst Du diesen dann wieder mit explode()
    auflösen und ebenso in einer Schleife zum Löschen abarbeiten.

Diese Methode wird auf einem Server durch die maximale Länge
    der "HTTP-Anfragezeile" (also der ersten Zeile des Request-
    Headers) beschränkt. Sie ist beim Apachen bspw. standardmä-
    ßig auf 8190 Byte.

Methode POST:

Hierbei wird nicht der QUERY_STRING durch das JavaScript er-
    weitert, sondern es wird ein Formularfeld (type=hidden) in
    gleicher Art der -Methode GET- gefüllt. Dabei wird das von
    Dir verwendete confirm() gegenstandslos, bzw. ersetzt durch
    das Betätigen des "Sende-Buttens". Dabei beträgt die stan-
    dardmäßige Größe immerhin 8 MB, die ausreichen sollten.

mysql_query("DELETE FROM $message\_table WHERE id='$del' AND nick='$nick_var' LIMIT 1")

Anzumerken bleibt, daß Du bei Deinem Script hoffentlich auf $del=$_GET['del']; zurüchgreifst...

Gruß aus Berlin!
eddi