yely, yo también tenía problemas en la formación de las queries, y al informarme vi que debía utilizar sentencias preparadas.

En las sentencias preparadas preparas una query y le pones unos marcadores (en mysqli son ?, y en PDO las puedes nombrar :usuario :pass)

Y a esos marcadores les enlazas unas variables:
$sentencia->bindParam(:usuario, $usuario);

Cuando las tengas enlazadas, ejecutas la sentencia
$sentencia->execute();

Y luego obtienes los resultados:
$resultado = $sentencia->fetch();

Al principio es un poco lioso, pero al final sales ganando. Yo ya me he acostumbrado y las hago todas así, aunque no haya datos introducidos por el usuario en la query.

Busca un poquito y verás mucha información, además, ayuda a evitar el problema de la inyección sql.