Eine Sache, auf die ich hinweisen sollte, ist, dass Sie mysql_real_escape_string nicht verwenden mit vorbereiteten Statements.
Eine andere Sache ist diese $user-id ist kein gültiger Variablenname. Sie können keinen Bindestrich verwenden.
Bearbeiten:
Es ist eine gute Sache, die Fehlerberichterstattung einzuschalten und mysqli auszugeben /mysqli_stmt::$error wenn irgendetwas schief geht. Die meisten Probleme können damit gelöst werden.
