Erstmal danke für die zügigen antworten, leider habe in meinem Startpost vergessen zu erwähnen, dass ich von PHP und Javascript, und eigentlich generell von der Webprogrammierung wenig ahnung habe.

Große teile wurden mithilfe dieses http://ajax.frozenfox.at/ Tutorials erstellt.

»»»» $stock = $_POST['stock'];
»»»» $lichtnr = $_POST['lichtnr'];
»»
»»Warum das unnötige Umkopieren?
Welche Methode ist denn besser dazu geeignet um an die variable zu kommen? Ich hab dies, wie einiges anderes auch, aus dem Tutorial übernommen.

»»Warum wertest du hier kein Funktionsergebnis[*] aus? Interessiert dich nicht, ob bei der Query Fehler auftraten oder nicht? Was sind das überhaupt für Funktionen? sqlsrv_* kennt das PHP-Handbuch nicht.

Bei den sqlsrv_* funktionen handelt es sich um die Funktionen die man ab php5.3 nehmen muss(?).
So steht es zumindest hier:
http://www.php.net/manual/de/mssql.requirements.php

Wegen der Erkennung von Fehlern, ich wäre im Moment bereits zufrieden wenn der php-Teil überhaupt aufgerufen werden würde, was im Moment glaub ich nicht der Fall ist.

Nun zu der Sicherheitslücke mit SQL-Injektionen:
Ich habe vor die Website mittels .htacess komplett zu sichern, ist dann eine Maskierung der Variable immer noch notwendig?
Ich habe auch nicht vor die Website öffentlich zu machen, sie soll nur für mich und wenige andere Personen zugänglich sein.