ni se te ocurra hacerlo asi porque permitis ataques de "SQL Injection" (inyección SQL), tenes que asegurarte que los datos introducidos por el usuario sean seguros antes de meterlos a una consulta SQL