Perfetto, grazie di cuore per le dritte, ho risolto.

Naturalmente in maniera grossolana, lasciando tutto come stava. Non conosco mysqli

E non ho capito perchè mi dici:

// questo non serve a niente messo così
// potresti usare direttamente le variabili $_POST
// sarebbe però il caso che le passassi alla funzione mysql_real_escape_string()

non lo capisco, perchè IO sono a digiuno, cercherò di approfondire