Así echando un vistazo muy rápido lo que más me ha llamado la atención es esto:

AND `precio` >$precio_desde

¡No saneas esa cadena en ninguna parte! Cualquiera podría ponerte código SQL en esa variable y fastidiarte la BD. Te recomiendo que uses $precio_desde = doubleval($precio_desde); y sobre todo, nunca dejes nada sin entrecomillar en las consultas SQL, aunque sean números.

Y bueno, no sólo esa cadena, si no que no saneas ninguna. Muy importante, siempre que recibas parámetros introducidos por el usuario, ¡trátalos! No te fies nunca de lo que introduce el usuario. Deberías usar doubleval para cada parámetro si es un número con decimales, intval si es un entero y mysql_escape_string si son cadenas.