Hi!
also sollte man die Abfrage
$abfrage1 = "SELECT * FROM garant WHERE id = '".$id."'";
in
$abfrage1 = "SELECT * FROM garant WHERE id = '" . mysql_real_escape_string($id) . "'";
ändern?
Das wäre eine Möglichkeit. Ein expliziter Typecast nach Integer oder intval() wäre auch möglich (id ist doch eine Zahl, ja?). Wenn du durch diese Zwangsmaßnahme Zahlenwerte sicherstellst, kannst du auch die ''-Zeichen weglassen.
Außerdem sah ich in deinem Fall das meistens unnötige Umkopieren
$id = $_GET["id"];
Du kannst auch gleich das $_GET["id"] an mysql_real_escape_string() oder intval() verfüttern.
Lo!