Вы должны привязать значения к заполнителям в подготовленном сообщении. См. Примеры в документации .
Попытка построить строку запроса «на лету» с неизвестными значениями, вставленными непосредственно в нее, - отличный способ получить инъекцию SQL , и его следует избегать.