Aan de ?'s te zien, maak je gebruik van een prepared statement. Bij een prepared statement is het belangrijk dat je evenveel data meestuurt als dat er ?'s in de query staan.
Je kunt je probleem waarschijnlijk oplossen door in de execute nog een extra parameter mee te sturen, of een extra maal bindParam/mysqli_bind_param te doen als je dat gebruikt.
Aron