Se il problema mysqli è risolto, il prossimo passo da fare è l'OUTPUT ESCAPING, ovvero la validazione dei dati che verranno "stampati" tramite il comando echo...
foreach ($data as $key => $value)
{
echo '<div>' . $value['message'] . '<a href="#" class="delete" rel="'.$value['id'].'">Delete</a> <div/>';
}
Cosa succederebbe se il valore di $value['message'] fosse uno javascript?
Poi ovviamente vanno filtrati anche i dati che verranno inseriti nel database!
La sicurezza del codice è una delle cose fondamentali che vanno assolutamente prese in considerazione.
P.S.: Consiglierei anche di prendere in considerazione l'opzione di non inserire codice html con il comando echo.