Mens du sender $date gennem mysql_real_escape_string , skal mistanke falde på enten $id , eller noget vi ikke kan se.
En SELECT statement vil ikke slette ting fra din db. Hvad har du ellers i din PHP-fil, der er ansvarlig for at slette brugere, og kan du have nogle ødelagte if /else logik, der ender med at passere gennem en funktion til at slette brugere, når de egentlig ikke burde være det?