Hasta ahora va todo muy bien, perfectamente explicado y entendible; pero antes de que sigas avanzando, seria conveniente detenerte un poco en cuestiones de seguridad:

Es un gran error poner en cualquier consulta SQL un dato sin filtrar, sobre todo si proviene de una entrada manipulable por el usuario como $_POST o $_GET.

1- Verifica que el campo viene donde lo esperas o inicializalo en cero/cadena vacia/etc.
- Para cadenas: $cadena = (isset($_POST['cadena'])) ? $_POST['cadena'] : '';
- Para numeros: $numero = (isset($_POST['numero'])) ? $_POST['numero'] * 1 : 0;

Lo de numero, puedes hacer multiplicacion o forzar de acuerdo al tipo:
- Entero: $entero = (int)$_POST['numero'];
- Flotante: $flotante = (float)$_POST['numero'];

2- Verifica que el campo cumpla con requisitos de longitud y/o valores minimo y maximo
3- Si es una cadena, pasala primero por mysql_real_escape_string() para evitar problemas de funcionalidad y seguridad.
4- No me acuerdo, luego te digo.