Po pierwsze:należy używać przygotowanych instrukcji mysqli, aby zapobiec atakom typu SQL injection. To nie jest bezpieczne aby użyć danych wejściowych użytkownika w zapytaniu bez prawidłowego ucieczki. Przygotowane oświadczenia są przydatne, aby temu zapobiec.
Po drugie:powinieneś dowiedzieć się, jak działa cytowanie ciągów w PHP, ciągi w pojedynczym cudzysłowie i w podwójnych cudzysłowach różnią się
Polecam przeczytać dokumentację PHP o cytowaniu ciągów.
