Gracias por mirarte el código y responder.

Tomo nota de que:

1.- Hay que asegurar siempre que las variables llegan por post con $variable= $_POST['variable'];

2.- Es siempre preferible no mostrar los errores para no "dar pistas".

3.- Conviene establecer filtros o comprobaciones adicionales como settype() - no la conocía- y alguna verificación de los string.

No, no me da error, aunque haya el espacio en blanco delante de FROM

Seguiré tus consejos manteniendo la estructura de los scripts.

Gracias por tu ayuda.