Allereerst:u moet door mysqli voorbereide instructies gebruiken om SQL-injectie-aanvallen te voorkomen. Het is niet veilig om gebruikersinvoer binnen een query te gebruiken zonder goed te ontsnappen. Opgemaakte verklaringen zijn handig om dit te voorkomen.
Ten tweede:je moet leren hoe het aanhalen van tekenreeksen werkt in PHP, tekenreeksen met enkele aanhalingstekens en tekenreeksen met dubbele aanhalingstekens zijn verschillend
Ik zou aanraden om de PHP-documentatie te lezen over aanhalingstekens.