la mejor forma de verificarlo es depurando el SQL generado, coloca despues de generar la cadena $consulta


y prueba si el SQL es válido en phpmyadmin o el gestor de mysql que uses.

Me temo que puede fallarte ya que en ningún momento filtras contra SQL Inyection