Selamlar, tüm $_POST 'ları kesinlikle filtrelemelisin. Böyle direk geleni çalıştırırsan Sql injection atak alırsın.

$string_ise= filter_input(INPUT_POST, 'postadi', FILTER_SANITIZE_STRING);
$sadece_rakam_ise= filter_input(INPUT_POST, 'postadi', FILTER_SANITIZE_NUMBER_INT);

En azından bu filtreyi kullan, daha birçok filtre şart ama başlangıçta bunu kullanabilirsin.
Herzaman bir değişkene ata ve filtrele Get&Post'ları.