Aj, jag dör lite inombords när jag läser den här tråden.
Vi tar det från början, du ska ALDRIG, ALDRIG och åter igen ALDRIG köra in en variable i en statisk query utan att först validera eller escapea variabeln.
Läs på om sql-injektioner. Annars töms databasen snabbare än vad du hinner säga säkerhet.
Sedan skickar du aldrig informationen när du trycker på Submit då du har valt metoden "post " och inte "post" (mellanrum efter post).
Ett tips är att göra en enkel validering av html-koden. Du har för övrigt också glömt att avsluta första input elementet.
Jag blir också oroligt över hur säkerhetstänket på resten av sidan är. Escapear du htmlkod när posterna ska visas t.ex.?
@Zelloxy, om du anropar en funktion/metod i ett uttryck så exekveras den (med undantag för Short-circuit evaluation). Hur skulle den annars kunna returnera något till uttrycket?