Hallo,

die Abfrage ist "ansonsten" sicherheitsbezüglich schlecht. Durch die direkte Verwendung von PHP Variablen in deinem dynamisch aufgebauten SQL Statement erlaubst du "bösen" Benutzern eine Tätigkeit, die unter dem Begriff "SQL Injection" bekannt ist.

Sie könnten durch geschickte Wahl der Eingabewerte quasi alles mit deiner Datenbank machen.

  
WHERE thread.id=beitrag.thread_id AND thread.forum_id=\"$auswahl\"  

$auswahl könnte z.b. folgenden Inhalt haben:

0; DROP ... ; --

was bewirkt, dass der erste Teil des SQL mit forum_id=0; zu ende ist, dann beliebiges SQL ausgeführt werden kann und alles was danach kommt, durch -- auskommentiert wurde.

Lösungsvorschläge zum Thema SQL Injection solltest du im Archiv dieses Forums ausreichend finden.

Cheers,
Frank