Acaso a nadie le preocupa la seguridad de su web?, es muy evidente en tu código la facilidad conque se puede hacer un SQL-Inyection y por lo que deduzco no es la única parte vulnerable de este tipo de ataques en toda la web que construyes, intenta escapar todos los datos recibidos por POST o por GET, con mysqli_real_escape_string(), o alguna función homologa.