Todo esto sería mas sencillo si utilizases PDO, una clase para abstraerte de la base de datos que maneja statements para poder preparar, bindear y ejecutar queries.

Saludos