$stmt = $db->prepare('INSERT INTO '.$table.' ('.$data.') VALUES ('.$values.')');
tímhle si mimo jiné koleduješ o průser. Když už jsi osvícen a používáš PDO tak ho používej tak aby jsi ho ošetřil před injekty
každopádně jeslti vidím správně tak do 4 argumentů cpeš 5 argumentů