<select name="sel_phoneno">
<option value="1" >1234</option>
<option value="2" >77664</option>
<option value="3" >58767</option>
<option value="4" >13345</option>
</select>

Sollte man auch hier in solchen Fällen zwingend immer die variablen Werte mit "quote" oder Prepared Statements absichern?

Es ist keine Schwierigkeit, die Seite mit deinem Formular lokal zu speichern, mit einem Texteditor obigen Code zu bearbeiten und anschließend mit den bösen Werten an deinen Server zu schicken.
Hättest du noch eine Prüfung der Referer:-Zeile, müsste man sich etwas mehr Mühe geben und eine entsprechende HTTP-POST-Anfrage manuell zusammenbasteln, aber nichtsdestrotrotz ist die Übermittlung von POST-Formulardaten kein Geheimnis, von jedermann nachzulesen und für Technikgewandte auch recht leicht nachzuvollziehen.

Kurz: Ja.

Du bist übrigens nicht der Einzige, der so eine Sicherheitslücke hat. Auch in diesem Forum konnte man bis vor einigen Jahren mit der eingangs genannten Vorgehensweise beliebige Themenbereiche benutzen.