A maneira correta de fazer isso é A:escapar de todas aquelas superglobais $_POST.
e B. Escreva uma consulta conforme mostrado abaixo.
Aqui está o tabledef para wp_postmeta:
http://codex.wordpress.org/Database_Description #Table:_wp_postmeta
Como meta_id é uma chave primária auto_increment, você não fornecê-lo, o MySQL faz.
//$meta_id = mysql_real_escape_string($_POST['meta_id']); <<-- not needed.
$post_id = mysql_real_escape_string($_POST['post_id']);
$meta_key = mysql_real_escape_string($_POST['meta_key']);
$meta_value = mysql_real_escape_string($_POST['meta_value']);
$sql=" INSERT INTO wp_postmeta
(post_id, meta_key, meta_value)
VALUES
('$post_id','$meta_key','$meta_value') "; //<<-- don't forget the quotes!
if ($result = mysql_query($sql)) {
//You can get the new meta_id using:
$new_meta_id = mysql_insert_id($result);
} else {
die ("could not insert ".mysql_error());
}