Ti suggerisco di iniziare abilitando la visualizzazione degli errori.

Poi, continua leggendo come leggere le variabili provenienti dall'utente:

http://www.php.net/manual/en/languag...s.external.php

Per finire, guarda questa guida:

http://php.html.it/guide/lezione/2986/sql-injections/