irgendwie kann ich das Schema nicht so ganz 100% nachvollziehen, was würde den passieren wenn ich stattdesseb schreibe
http://domain.tld/abfrage.php?query=delete%20from%20tabellenname.

Nun, ich würde sagen, du hättest meine Daten gelöscht. :-) Aua!

imho ist es absoluter quatsch einen SQL-Query zu übergeben und den von einem Skript ausführen zu lassen. Und das spielt imho keine Rolle ob nun GET oder POST. Geb mir einfach mal deine Adresse und du brauchst das query-Problem nicht mehr lösen, mangels Datenbanktabellen ;) nene. Du solltest das anders lösen z.b.

http://domain.tld/abfrage.php?show=Kunden

und dann z.b.
<?php

if (isset($_GET["Kunden"]) AND $_GET["Kunden"])) {
  $SQL = "SELECT .... ";
  }

Stimmt, habe ich gemacht. Danke! Was ist denn, wenn sich dann jemand meine PHP-Datei anschaut? Dann kennt er die Struktur doch auch. Und query funktioniert trotzdem noch, oder?

Danke Verona