su sorguda sql injection açığı var bilginiz olsun gelen değişkenler sayılardan oluşuyorsa örnek

(int)$conv->m_to veya mysql_real_escape_string($conv->m_to)

yapmanız daha sağlıklı olacaktır.