cierto, en ese caso key actuaría como un alias, pero realiza un echo de la cadena SQL y ejecútala en un gestor de DB como phpMyAdmin y verifica si es error de sintaxis, producido quizá por no escapar las variables como te indiqué anteriormente, por lo que tu código no está protegido contra SQL Inyections