Moin!

Also per Link übergebe ich gewisse Variablen, dabei auch eine Variable, die "datum ASC, anfang" als Inhalt hat.

Der Inhalt dieser Variable wird danach aber nicht zufällig in eine SQL-Abfrage eingebaut?
Das schon, aber die wird vor Einbindung nochmal auf alle möglichen Sachen geprüft.

„Alle möglichen Sachen“, mit dieser Formulierung wäre ich vorsichtig ;-)

Außerdem wird das ganze immer lokal laufen, wodurch eine Injektion schier unmöglich ist.

Aha. Und wenn du doch irgendwann feststellst, dass der Code auch woanders verwendbar ist, steckt da eine schöne und leider vergessene Lücke drin. Ich empfehle immer von Anfang an sauber zu programmieren.

Viele Grüße,
Robert