proveri da li ti je upaljem magic quotes, ako jeste odradi stripslashes za te $_GET() variable.
onda te variable escape-uj sa mysql_real_escape_string() ... za godine, proveri da li je number ili nije, castuj u (int) i onda ce da radi
Code:
$ime= mysql_real_escape_string(trim((get_magic_quotes_gpc()?stripslashes($_GET['ime']),$_GET['ime'])));
$prezime= mysql_real_escape_string(trim((get_magic_quotes_gpc()?stripslashes($_GET['prezime']),$_GET['ime'])));
$godine = (int) (is_numeric($_GET['godine'])?$_GET['godine'], 0) ;
inace, da bi cela tema imala nekakve veze sa mysql-om a ne sa php-om, upit koji koristis (like %xxx%) ce raditi table scan - dakle nece koristiti nikakve indexe i prolazice kroz tabelu jedan po jedan slog i raditi poredjenje. ako vrednost unutar like pocinje sa % - nema indexa .. ako ti je upit like 'xxx%' onda ce u nekom slucaju ako je polje indexirano mysql odluciti da koristi index (mada i tu vrlo cesto ide table scan) tako da - ako mozes da izbegnes like - izbegni