En primer lugar:debe usar declaraciones preparadas de mysqli para evitar ataques de inyección SQL. No es seguro para usar la entrada del usuario dentro de una consulta sin el escape adecuado. Las declaraciones preparadas son útiles para evitar esto.
Segundo:debe aprender cómo funcionan las comillas de cadenas en PHP, las cadenas entre comillas simples y las cadenas entre comillas dobles son diferentes
Recomendaría leer la documentación de PHP sobre comillas de cadenas.