На първо място:трябва да използвате подготвени изявления на mysqli, за да предотвратите атаки с инжектиране на SQL. Не е безопасно да използва въведеното от потребителя в рамките на заявка без правилно екраниране. Подготвените изявления са полезни за предотвратяване на това.
Второ:трябва да научите как работи цитирането на низове в PHP, низовете с единични кавички и низовете с двойни кавички са различни
Бих препоръчал да прочетете документацията за PHP относно цитирането на низове.
