Hallo,

Moin!

Also per Link übergebe ich gewisse Variablen, dabei auch eine Variable, die "datum ASC, anfang" als Inhalt hat.

Der Inhalt dieser Variable wird danach aber nicht zufällig in eine SQL-Abfrage eingebaut?

Das schon, aber die wird vor Einbindung nochmal auf alle möglichen Sachen geprüft. Außerdem wird das ganze immer lokal laufen, wodurch eine Injektion schier unmöglich ist. Das Problem, was dahinter steckt ist ziemlich einfach. Eine Abfrage bekommt Standardwerte gesetzt, falls die Variable mit den aktuell benötigten Daten noch nicht existiert. Die neuen Daten kommen aus einer Form.

gruß aus Senftenberg am See