»»     $suche   = $_POST['suche'];

Das öffnet SQL-Injection Tür und Tor.

»»

Ich weiß, mir geht es hier aber nur grad um die Suchfunkion, den Rest später

Auch die Ausgabe sollte man entsprechen behandeln. Eventuell ist XSS oder CSRF möglich.

Kannst du etwas näher erklären ?