All'inizio fa' paura !

Mettere direttamente le variabili POST nella query senza filtrarle è pericolosissimo. Non dare il tuo sito web perchè è esposto a seri rischi di sicurezza ! Spero per te che non lo conosca nessuno...
Leggiti qualcosa sulle SQL injection !
Poi magari ci si ragiona..