Hallo zusammen,

vielen Dank für eure Hilfe und Tipps.

Ja - "All input is evil!" ... woher willst Du wissen, dass der Benutzer "Dein" Formular verwendet (und nicht vielleicht dessen HTML-Quellcode lokal abgespeichert und manipuliert hat)?

ja da hast du recht.
Ich kenne mich mit SQL Injection und Manipulationsmöglichkeiten noch zu wenig aus. Ich dachte daher zuerst das mit solch einem Select Menü ja keine Werte verändert werden können.
Bei einem Input Textfeld ist es mir schon klar das man event. "bösen" Code wie 1' or '1' = '1 eingeben kann.

Ok, dann werde ich auf jedenfall immer alle variablen Werte absichern.

vielen Dank und viele Grüße
hawk