Mach mal

PHP-Code:
 $zufall rand(1,100); 
dort raus wo du es jetzt hast und füge es da

PHP-Code:
$_GET['tan'] = addslashes ($_GET['tan']); 
drunter mal ein!?

Der trägt ja bei dir den Wert von $zufall schon in die DB ein bevor er überhaupt generiert wurde, das kann gar ned funken.