Hi,

Wenn du wirklich Prepared Statements meintest - dann erstellst du ein Statement, bindest über prepare die Parameter daran, führst es mittels execute aus - und schaust dann an, was du zurückbekommst.
Ich habe hiervon leider nichts verstanden...

Dann lass dir weiterhelfen - in dem du beschreibst, was "nichts verstanden" bedeutet. Wo hakt es?

Zur ersten Frage hier die erste Sicherheitsstufe.

if ('POST' == $_SERVER['REQUEST_METHOD']) {

if (!isset($_GET['ort'])) {
        die ('Benutzen sie nur Formulare von der Homepage.');
    }

  
Das hat mit Sicherheit nichts zu tun.  
  

> Aber zurück zur MYSQLi Abfrage das obere habe ich nicht verstanden...  
  
Nicht doppelt, sondern dafür ein mal verständlich beschreiben, Danke.  
  
MfG ChrisB  
  

-- 
Light travels faster than sound - that's why most people appear bright until you hear them speak.