Tach!

....und jetzt?

Schon besser. HTML hast du hoffentlich auch berücksichtigt?

// Maskierende Slashes aus POST entfernen
$_POST = get_magic_quotes_gpc() ? array_map( 'stripslashes', $_POST ) : $_POST;

Brauchst du das wirklich noch? Dieses Feature sollte eigentlich schon seit langem ausgeschaltet sein und PHP 5.4 hat es gar nicht mehr an Bord.

$Schicht = $_SESSION['schicht'];
$Mysql_datum = $_POST['mysql_datum'];

Umkopieren ist unnötig, nimm das Original. Besonders wenn du den Wert nur ein/zweimal brauchst, ist es nur zusätzlicher Aufwand.

$sql = "
SELECT * FROM Tabelle
WHERE
SCHICHT = '" . mysql_real_escape_string($Schicht) . "'
AND
DATUM = '" . mysql_real_escape_string($Mysql_datum) . "'
ORDER BY ID DESC;";

sprintf() kann auch noch etwas mehr zur Lesbarkeit beitragen, aber das ist Geschmackssache. Übrigens ist die mysql_*-Erweiterung in mittelferner Zukunft nicht mehr verfügbar. PDO (anwenderfreundlicher) oder mysqli_* wird weiter bestehen. Beide bieten Prepared Statements, womit sich das SQL-Injection-Problem gleich von vornherein nicht ergibt.

dedlfix.