Hallo

Dies trifft genau _hier_ nicht zu. Er übergibt nicht den Wert von $_GET['what'] in den Query sondern entscheidet anhand dessen Wertes, ob "links_groups" oder "links" bzw. "group" oder "id" in den Query eingesetzt werden sollen. Und die sind im Skript fest vorgegeben.

Zumindest von $_GET["which"] wird in dem geposteten Codeteil keine nähere Prüfung gemacht.

Ups, den hatte ich übersehen.

Aber auch sonst bin ich der Meinung, dass man besser GET-Parameter vorher überprüfen ...

Ja, eine Prüfung darauf, ob die übergebene Variable einen erwarteten Wert hat, ist wichtig.

... und dann immer in normale Variablen schreiben sollte.

Warum sollte man das "immer" tun? Manchmal mag das ja sinnvoll sein, meist (zumindest bei meiner Vorgehensweise) ist es nicht sinnvoll. Der große Vorteil eines $_POST, $_GET, $_SESSION etc. -Wertes ist ja, dass er, bzw. die variable ansich, superglobal ist. Ich kann ihn innerhalb jeglicher Funktion verwenden, ohne ihn dieser Funktion bekannt machen zu müssen.

Tschö, Auge