non serve postare il codice di tutto il sito per verificare il funzionamento di una query.
prova a stamparla a video e vedere innanzitutto se è corretta come concatenamento di stringhe.

poi.. perchè metti $_POST etc tra graffe?

prima di metterlo direttamente in una query io ne verificherei il contenuto.

se fai così bucarti il sito è facile.