Hallo,

$_POST['lang'] = 'Leck mich!';

if (!in_array($_POST['lang'], $available_languages) {
    // create error message
    $error = sprintf(
        '<p class="error">Falsche Sprache <strong>%1$s</strong>angegeben!</p>',
        htmlspecialchars($_POST['lang'])
    );
}

Das wird wohl nicht passieren, da die $_POST['lang'] aus der Datenbank gefüllt wird.

ganz gewiss nicht - die Werte im $_POST-Array kommen direkt vom Client! Sie können daher beliebig richtig, falsch oder manipuliert sein.

So long,
 Martin