Tach!

$suchart = mysql_real_escape_string($_POST['suchart']);
$suchbegriff = mysql_real_escape_string($_POST['suchebegriff']);
$abfrage = "SELECT * FROM pruefung WHERE $suchart LIKE '$suchbegriff'";

Wie unsicher ist das denn? Für sowas gibts die "Fristlose"!

$suchart wird nicht in einen String- sondern einen Identifier-Kontext eingefügt. Für diesen gelten Regeln, die nicht von mysql_real_escape_string() berücksichtigt werden. Die Regel dazu findet man im MySQL-Handbuch im Kapitel zu den Schema Object Names, eine Funktion dafür stellt PHP (und auch die MySQL-Client-API) jedoch nicht zur Verfügung.

dedlfix.