En sak jag bör påpeka är att du inte använder mysql_real_escape_string med förberedda utlåtanden.
En annan sak är att $user-id är inte ett giltigt variabelnamn. Du kan inte använda ett bindestreck.
Redigera:
Det är bra att aktivera felrapportering och mata ut mysqli /mysqli_stmt::$error när något misslyckas. De flesta problem kan lösas med dessa.