FanatPHP

Да. Ходить в цикле и каждому слать имейл из 5 млн.
Спамер должен страдать.

И никто не сказал несчастному автору, что надо использовать подготовленные выражения, а не буковки к названиям функций приписывать.

Если немного отойти в сторону от насущных потребностей горе-кодеров исправить опечатку и бежать скорее такжекодить дальше, то вопрос довольно интересный.

В частности, возникает закономерный вопрос - почему $result содержит true, а не false, как должно быть в случае ошибки? Ведь у запроса явно неверный синтаксис? И что означают загадочные слова автора (который не в ладах не только с РНР, но и с русским языком), "Два поля в ней редактируются и я пытаюсь их сохранить, не то, что хочу"?

Ответ, для тех кто хочет научиться программировать на уровне чуть сложнее, чем складывание программ из десятка с трудом заученных операторов, довольно интересный.

Начнем с запроса. Ошибка в нем действительно есть, но не синтаксическая. Дело в том, что оператор AND может использоваться не только в операторе WHERE. Это совершенно самостоятельный логический оператор: SELECT 1 AND 1; это совершенно легитимный запрос, который вернет единицу - результат операции 1 AND 1;.

Точно так же результат этой операции можно присвоить и полю при запросе UPDATE:
UPDATE Users SET logist=1 AND 1 WHERE id=100;
А теперь посмотрим внимательно на исходный запрос. Для удобства я поставил скобки, чтобы показать, в каком порядке выполнятся операторы в запросе:

UPDATE Users SET logist=('$log' AND (sum='$sum')) WHERE id='$form_id'

Что здесь важно понимать?

• - что в выражении sum='$sum' знак "равно" меняет свое значение и из оператора присваивания превращается в оператор сравнения.
  
• - что существует такое явление, как приоритет выполнения операторов. И у оператора AND приоритет выше, чем у = как оператора присваивания, но ниже, чем у = как оператора сравнения!
  
• - что существует такое явление, как приведение типов, и mysql по мере сил пытается привести операнды выражения AND ктакому типу, с которым оно может работать (числовому)
  

таким образом мы

1. сначала приводим выражение '$log' к числовому/булеву типу (и получаем скорее всего 0)
   
2. потом получаем результат выражения sum='$sum' (1 или 0 в зависимости от того, равно ли содержимое поля sum значению переменной $sum или нет),
   
3. затем выполняем операцию 0 AND 0
   
4. и в итоге мы присваиваем этот 0 полю log
   

Каковой ноль и объясняет загадочные слова автора "я пытаюсь сохранить не то, что хочу."

Напоследок хочется рассказать о важности информирования программиста об ошибках.

На самом деле ошибка в этом запросе все-таки есть. И звучит она как Truncated incorrect DOUBLE value: 'log'
Просто в зависимости от настроек mysql она является либо фатальной, либо просто нотисом. В случае автора это был нотис, который в пхп без специальных средств заметить невозможно.
Но если бы база данных была настроена в strict mode (и у автора вопроса было настроено правильное отображение ошибок mysqli),то ошибка бы стала фатальной, а поведение кода - более предсказуемым: значение поля не обновилось бы на непонятный нуль, а запрос бы выдал ошибку.

Имена полей и названия плейсхолдеров ни в коем случае нельзя брать из $data

Есть класс юзеров,

Имена полей должны быть прописаны в этом классе и использоваться для построения запросов. В общем случае это просто имена свойств класса.

$sql="SELECT COUNT(*) FROM `post` WHERE osoz=1 AND id_author=?";         
$stmt = $connect->prepare($sql);     
$stmt->bind_param("s",$id_au);
$stmt->execute();
$row = $stmt->get_result()->fetch_row();
echo $row[0];

НЕ НУЖНО

Это чудовищное издевательство над базой данных и программистами, которым потом придется с этим работать.
Для Андрея надо завести отдельную таблицу, связанную с исходной,и записывать в неё, обычным инсертом

потому что это называется SQL инъекция.

Запросы надо выполнять через подготовленные выражения.

$query = "INSERT INTO users SET login = ?, name = ?, email = ?, pass = ?, status = 'user'";
$stmt = $link->prepare($query);
$stmt->bind_param("ssss",$login,$name,$email,$pass);
$stmt->execute();

То же самое касается и всех остальных запросов, в которых участвуют переменные

Данные надо перекодировать не при выборке, а при записи.
Перед записью должен выполняться запрос SET NAMES с указанием кодировки входящих данных.

программа должна делать ровно то, что хочет программист. если надо обновить дату, то запрос должен обновлять дату. не нужно искать какие-то обходные пути, чтобы обновить дату, не обновляя её.

Если не хочется передавать текущую дату в запрос, то в mysql есть функция NOW().

Глядя на этот ужас, летящий на крыльях ночи, я всегда задаюсь вопросом: допустим, автор захочет написать аналог тостера. Что будет с текстом его вопроса после обработки такой функцией?

По поводу того, что сюда добавить:

В ужасе стереть все что что тут написано.
Прочитать раз в жизни документацию и забыть про mysql_real_escape_string как про страшный сон.
Включить голову, и сообразить, что mysql не подвержена XSS. То есть при записи в базу данных от этой атаки защищаться не нужно.
Освоить PDO, и использовать подготовленные выражения для работы с базой данных.

Специально для всех жертв видеокурсов по похапе.
Мастеркласс по решению супер-сложной задачи по извлечению информации из базы данных.

1. Вместо идиотской mysqli используем нормальный PDO. Берем отсюда код соединения с БД и записываем его в файл db.php
2. Убеждаемся, что можем видеть все ошибки, которые возникают в коде
3. Собственно ответ на вопрос "как подставлять словие в запрос" заключается в 3 строчках

$sql = "SELECT id, city_name FROM city where id = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([$_GET['sch']]);

4. Переписываем наш многострадальный код

<?php
error_reporting(E_ALL);
ini_set('display_errors', 1);
include 'db.php';
$data = $pdo->query("SELECT id FROM city LIMIT 10")->fetchAll();
?>

<form>
  <div class="form-group">
    <label for="search_word">Поиск</label>
    <select class="form-control" name="sch">
    <?php foreach ($data as $row): ?>
        <option><?=$row['id']?></option>
    <?php endforeach ?>
    </select>
  </div>
  <input type="submit" class="btn btn-default">Поиск</button>
</form>

<?php
if (!isset($_GET['sch'])) {
    die("Выберите значение");
}
$sql = "SELECT id, city_name FROM city where id = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([$_GET['sch']]);
$data = $stmt->fetchAll();
?>

<?php if ($data) : ?>
    <table class="table table-striped"><tr><th>ID</th><th>Город</th></tr>
    <?php foreach ($data as $row): ?>
        <tr><td><?=$row["id"]?></td><td><?=$row["city_name"]?></td></tr>
    <?php endforeach ?>
   </table>
<?php else : ?>
    echo "0 results";
<?php endif ?>

Возникающие на экране сообщения об ошибках пытаемся перевести и нагуглить самостоятельно. Только в самых беднадежных случаях идем на тостер и просим растолковать