Först och främst:du bör använda mysqli-förberedda uttalanden för att förhindra SQL-injektionsattacker. Det är inte säkert att använda användarinmatning i en fråga utan korrekt escape. Förberedda uttalanden är användbara för att förhindra detta.
För det andra:du bör lära dig hur strängcitering fungerar i PHP, strängar med enkla citattecken och strängar med dubbla citattecken är olika
Jag skulle rekommendera att du läser PHP-dokumentationen om strängcitering.