ayrıca mysql sorguların injection için çok uygun. biraz güvenlik lazım, parametreleri o şekilde doğrudan sorguda kullanma. php mysql injection olarak araştırabilirsin.