presumo che $tutto sia una stringa, così come il campo id_sessione... ergo $tutto nella query deve essere circondato da singoli apici ( ' )