Hi!

$md5 = $_GET['id'];
[...]
  mysql_query("DELETE FROM ".$db_tabell." WHERE mail='".$md5."'");

Mal eben
  x' AND 1 --
übergeben und leer ist die Tabelle. Und das ist nur eine Anwendungsmöglichkeit für SQL-Injection. Kontextwechsel beachten! Immer! Das Umkopieren von $_GET/$_POST in andere Variablen ist sinnlos und schützt nicht vor solchen kapitalen Sicherheitslücken.

So sollte es besser sein oder?

  
$md5 = mysql_real_escape_string(trim($_GET['id']));