Questo non lo so, è giusta l'SQL?.

Comunque il mio non è un consiglio, è che come avevi fatto tu proprio non era corretto.

Comunque dovresti fare attenzione nell'utilizzare i dati ricevuti dal POST o GET senza eseguire l'escape degli apici.

Conviene che ti studi qualche guida sul php specie sulla sicurezza.