$tmp="SELECT * FROM liga_zuschauer WHERE liga='$liga' AND saison='$saison' ORDER BY $order $up";
Was steht in $order und $up?
Order ist halt in der Adressleiste zum Beispiel gesamt oder spiele

jawoll, variablen ungeprüft aus GET-parametern in die query zu übernehmen rockt! viel spass beim gehackt werden...