Alle Eingaben sind als manipulierbar(spoofing) anzusehen. HTTP ist nicht sicher.
X
$clean = array();
if(ctype_alnum($_POST['vorname']){
$clean['vorname'] = $_POST['vorname'];
}
switch($_POST['mode']) {
case '1':
case '2':
$clean['mode'] = $_POST['mode'];
break;
}