V první řadě se podívej na syntaxi příkazu INSERT. Protože ho píšeš, jako by to byl UPDATE.
Pak tam máš krásný příklad SQL Injection, což je docela nesmyslné, když tam potom používáš prepare a execute.
A ukládáš tam i "end", ale ten v requestu nikde neposíláš.