Y aun otra cosa: revisa algun manual de seguridad para consultas a la bdd; cuando recibes datos del usuario no puedes usarlos directamente dentro de una consulta, es decir si que puedes pero es un agujero de seguridad. En php tienes la funcion mysqli_real_escape_string, revisa la referencia de php para ver que hace esa funcion y porque es importante que la uses.

Saludos
vosk