Při předávání $date prostřednictvím mysql_real_escape_string , podezření musí padnout buď na $id nebo něco, co nevidíme.
A SELECT příkaz nevymaže věci z vaší databáze. Co dalšího máte ve svém souboru PHP, který je zodpovědný za mazání uživatelů, a mohli byste mít nějaké nefunkční if /else logika, která skončí tím, že projde funkcí pro smazání uživatelů, když by to ve skutečnosti být nemělo?