Como te recomienda gnzsoloyo sigue sus consejos. En primer lugar no sabemos que $quien es quien Lo primero y mas sencillo es hacer dos echos cuando se recibe el dato. Uno a la variable $quien y otro a la consulta $sql. De esa manera puedes mirar

1. Si la variable $quien si le esta llegando el dato correcto.

2. Si la consulta queda bien generada.

Comentanos que resultados te da y a partir de ahi es mas facil colaborar. Yo tampoco le encontre algun error de sintaxis.