НЕ используйте конструкции вида fio = '{$_POST['fio']}' в строке запроса, тк это может привести к SQL-injection. Делайте экранирование, а в идеале биндинг парамертров (bindParam, bindValue) через PDO. Второй нюанс: mysql_query устарело, используйте вместо него mysqli или PDO.
