En ting, jeg bør påpege, er, at du ikke bruger mysql_real_escape_string med udarbejdede erklæringer.
En anden ting er, at $user-id er ikke et gyldigt variabelnavn. Du kan ikke bruge en bindestreg.
Rediger:
Det er en god ting at slå fejlrapportering til og udlæse mysqli /mysqli_stmt::$error når noget fejler. De fleste problemer kan løses med disse.