Добавление данных в таблицу SQL через PHP

Запросы в базу данных следует выполнять с помощью подготовленных выражений. Для этого лучше всего использовать класс PDO.

Выполнение запросов на вставку с помощью подготовленных выражений происходит в 2 стадии:

• подготовка запроса, при этом на место всех переменных ставятся знаки вопроса. При этом создается переменная $stmt.
• выполнение запроса, при котором все участвующие в запросе переменные отправляются отдельно, в виде массива, в метод $stmt->execute().

в итоге код получается аккуратным и безопасным:

$sql = "INSERT INTO Data (Name, Description,Photo,Buy,Sell) VALUES (?,?,?,?,?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$_POST['name'], $_POST['description'], $_POST['photo'], $_POST['buy'],$_POST['sell']]);

Также можно посмотреть другие примеры запросов с использованием подготовленных выражений

Хочу отметить, что данный подход гарантирует нас от ошибок синтаксиса. Однако при выполнении запроса могут возникать и другие ошибки. Это совершенно нормальная ситуация, и в случае возникновения ошибки надо просто прочитать её текст ,понять в чем она заключается, и исправить.

Чтобы ПДО всегда сообщал об ошибких, надо писать код соединения так, как написано в этом ответе

Так правильней:

$sql = "INSERT INTO Data (Name, Description,Photo,Buy,Sell) VALUES ('$_POST[name]','$_POST[description]','$_POST[photo]','$_POST[buy]','$_POST[sell])";