Wenn du wirklich Prepared Statements meintest - dann erstellst du ein Statement, bindest über prepare die Parameter daran, führst es mittels execute aus - und schaust dann an, was du zurückbekommst.

Ich habe hiervon leider nichts verstanden...

Zur ersten Frage hier die erste Sicherheitsstufe.

if ('POST' == $_SERVER['REQUEST_METHOD']) {  
    if (!isset($_GET['ort'])) {  
        die ('Benutzen sie nur Formulare von der Homepage.');  
    }

Aber zurück zur MYSQLi Abfrage das obere habe ich nicht verstanden...