Hello,

Sollte man auch hier in solchen Fällen zwingend immer die variablen Werte mit "quote" oder Prepared Statements absichern?

ich denke mir, dass eine Absicherung von Auswahllisten immer über die Session des Users gehen sollte.
In den Sessiondaten wird dann die Übersetzung von value in ID des Datensatzes betrieben.
Values, die gepostet werden, und nicht in der Session vermerkt sind, werden gleich mit Fehlermeldung quittiert. Es kann sich dabei allerdings auch um einen versehentlichen Doppelpost handeln, also nicht zu dolle schimpfen ;-))

Ein harzliches Glückauf

Tom vom Berg