Za prvé:měli byste používat připravené příkazy mysqli, abyste zabránili útokům SQL injection. Není to bezpečné použít uživatelský vstup v dotazu bez řádného escapování. Připravená prohlášení jsou užitečná, abyste tomu zabránili.
Za druhé:měli byste se naučit, jak funguje citování řetězců v PHP, řetězce v jednoduchých a dvojitých uvozovkách se liší
Doporučuji přečíst si dokumentaci PHP o citování řetězců.