Først og fremmest:du bør bruge mysqli forberedte sætninger for at forhindre SQL-injektionsangreb. Det er ikke sikkert at bruge brugerinput i en forespørgsel uden korrekt escape. Forberedte erklæringer er nyttige for at forhindre dette.
For det andet:du bør lære, hvordan strengcitering fungerer i PHP, strenge med enkelt citat og strenge med dobbelte anførselstegn er forskellige
Jeg vil anbefale at læse PHP-dokumentationen om strengcitering.