Moin!

INSERT INTO bestellungen SET vorname='".htmlspecialchars($_POST['vorname'])."',

Zur Sache habe ich noch nichts zu sagen, aber das ist unsicher. Behandle die Daten beim Eintrag in die Datenbank mit mysql_real_escape_string()

htmlspecialchars() soll verhindern, dass Tags an einer Stelle auftauchen, wo diese nichts verloren haben. Benutze dies, wenn Du die Daten wieder in ein HTML-Dokument ausgibst.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix