Hallo,

Da ich genau weiß was über $_POST ankommt ...

nein, das weißt du nicht! Solange dieses Script irgendwo online erreichbar ist, kann irgendjemand POST-Requests auf diese Ressource absetzen. Mit beliebig sinnvollen oder auch unsinnigen Daten.

kann ich mir jegliche Prüfung sparen.

Darüber würde ich nochmal nachdenken.

if($key == "bmod" || $key == "go"){}else

Putzig, ein leerer if-Anweisungsblock. ;-)
Wenn du nur die negierte Bedingung brauchst, dann formuliere das doch gleich so:

if ($key!="bmod" && $key!="go")

und lass den else-Zweig dafür weg.

$sql = "UPDATE table SET Wert = '$wert' WHERE ID = '$key'";
$res = mysql_query($sql);

Spätestens hier gelangen also Eingaben, die von außen über $_POST kommen, direkt bis an die Datenbank. Viel Spaß!

Ist das ok, oder sollte man das doch anders machen.

Oder. Das allermindeste wäre eine kontextgerechte Maskierung vor der Übergabe an die DB.

So long,
 Martin