Server prüft jetzt die Länge des QUERY_STRING. Was über 50 ist, wird nicht beantwortet.

Ganz schlechter Plan. Besser ist es, die Parameter zu prüfen. Der Parser erzeugt:

Array
(
    [ORT] => 9628
    [KM] => 259
    [lg] => en AND 1=2 UNION SELECT 0x6461726b31636f6465,0x64..
)

Und Dein Programm macht was? Richtig, es prüft, ob derjenige Parameter gesetzt ist, welcher die Aktion "Datenbankabfrage" veranlasst. Welcher Parameter soll das sein, ORT, KM, lg???

Wahrscheinlich eher nicht und schon ist die Frage, was mit dem Request passieren soll beantwortet: weg damit.

Außerdem musst Du damit rechnen das solche unbekannten Parameter auch per POST oder PUT reinkommen können.

MfG