Tip de seguridad: No pases todas las variables asi nada mas a tu consulta SQL, puedes ser victima de una SQL Injection, utiliza algunas funciones como htmlentities() o crea tu propia tu propia funcion que limpie las cadenas completamente.