Kaum, denn diese Werte stehen einerseits in $_GET oder $_POST, andererseits sind sie Usereingaben und nicht ungeprüft/unbehandelt zu übernehmen.

Ich dachte dann auch eher so, dass ich vorher die Werte in eine Variable schreibe:
$year = mysql_real_escape_string($_POST['jahr']);
Sollte das nicht auch gehen?