Uma coisa que devo salientar é que você não usa mysql_real_escape_string com declarações preparadas.

Outra coisa é que $user-id não é um nome de variável válido. Você não pode usar um hífen.

Editar:

É bom ativar o relatório de erros e gerar a saída mysqli /mysqli_stmt::$error quando algo falha. A maioria dos problemas podem ser resolvidos com eles.