El primer error que cometes es construir la consulta de SQL a mano, a partir de ahí todo lo que hagas será un error tras otro si lo sigues haciendo igual.

Lo ideal es que uses PDO (o MySQLi) y sus prepared-statementes, básicamente un método llamado prepare() en ambas librerías.

Así evitas construir el SQL a mano y te evitas problemas de SQL-Injection.

Cualquier otra "solución" es pérdida de tiempo.