Jen malá vsuvka, tenhle kód je extrémně nebezpečný zřejmě. Jak ošetřuješ všechny proměnné, co následně dáváš do SQL dotazu?