Prima di tutto:dovresti usare le istruzioni preparate da mysqli per prevenire attacchi di SQL injection. Non è sicuro per utilizzare l'input dell'utente all'interno di una query senza un corretto escape. Le dichiarazioni preparate sono utili per prevenirlo.
Secondo:dovresti imparare come funziona la citazione di stringhe in PHP, le stringhe tra virgolette singole e le stringhe tra virgolette doppie sono diverse
Consiglierei di leggere la documentazione PHP sulla citazione di stringhe.
