Hi!

2. Dein Code ist gefährlich! Es besteht die Gefahr von "SQL-Injections"!
   http://de.wikipedia.org/wiki/SQL-Injection

Ja, aber du machst es auch nicht besser, denn du hast vergessen, den String in Anführungszeichen zu setzen. Aufgabe von mysql_real_escape_string() ist es, dass einige Zeichen so umgeschrieben werden, dass der String-Kontext nicht verlassen werden kann. Du hast ihn gar nicht erst eingeleitet.

'.mysql_real_escape_string($DB, $_GET['radius']).'),

''.mysql_real_escape_string($DB, $_GET['radius']).''),

Wenn Du eine Zahl erwartest genügt statt "mysql_real_escape_string($_GET['radius'])"
      auch: "($_GET['radius']*1)";

Die Rechnerei macht die Intention weniger gut deutlich als das Verwenden von intval() oder floatval().

Lo!