Hi, danke für die Hilfe!

Wäre das so schon ausreichend gesichert oder muss ich das anders machen?

Anders. Verwende nur die für Postgres vorgesehenen Maskierfunktion pg_escape_*(), vor allem pg_escape_string() und pg_escape_literal().

Wäre dann sowas o.k.?

  
  
if (isset($_GET['service']) && $_GET['service'] != "") {  
	$getservice = pg_escape_string($_GET["service"]);  
	  
	$sqlString = "SELECT * FROM mytab WHERE service ='".$getservice."'";  
	$result_service = pg_query($dbconn , $sqlString) or die('Connection failed (pg_query): ' . pg_last_error());  
}  
  

Hans