Ti suggerisco di ricominciare dalle basi del PHP e dell'SQL.

Per prima cosa, se i valori che stai cercando di analizzare provengono dalla query string, perchè non provi ad accedervi tramite l'array superglobale $_GET? Vedi:

http://www.php.net/manual/en/languag...s.external.php
http://www.php.net/manual/en/reserved.variables.get.php

Per seconda cosa, tutti gli input dell'utente vanno protetti quando si tratta di usarli, ad esempio, nelle query. Vedi:

http://www.php.net/mysql_real_escape_string
http://php.html.it/guide/lezione/2986/sql-injections/

Infine, una stringa in SQL è delimitata da singoli apici o doppi apici, ecco pechè ottieni quel messaggio di errore. Vedi:

http://dev.mysql.com/doc/refman/5.0/...ng-syntax.html