@@Der Martin:

nuqneH

<?php
    echo '<p>Ihre Auswahl ist:<br> ' . $_POST['Bestellung'] . '</p>';
?>

So sollte es gehen, wenn das Formular tatsächlich abgesendet wird.

Was sollste so gehen? Schadcode in die Seite einzufügen? Ja, und ob das geht!

Merke: NIEMALS Nutzereingaben unbearbeitet wieder ausgeben!!

Qapla'