Segui le due guide che ho in firma, dovrebbero spiegarti un po' di cose, specialmente quella relativa a php e mysql.

La funzione di cui ti ho parlato serve a fare in modo che un utente smaliziato non possa far fare alla query cose non previste, per esempio potrebbe cancellarti tutto il db.

Per quanto riguarda mysqli_ c'è poco di diverso da mysql_ solo che in alcune funzioni dovrai passare esplicitamente la variabile contenente il link al database.