Das Stichwort hat dir Vinzenz schon gesagt: https://forum.selfhtml.org/?t=169045&m=1103587

Ich habe das ganze nun (überall) so abgeändert:

$auswaehlen2= "SELECT MIN(Uhrzeit) AS Abfahrtszeit FROM Fahrzeiten WHERE Wochentag = '".mysqli_real_escape_string($link,$SuchWochentag1)."' AND Haltestelle = '".mysqli_real_escape_string($link,$auswaehlen1)."' AND Uhrzeit >= '".mysqli_real_escape_string($link,$Uhrzeit1)."'";

Man sieht auch, dass ich nun überall - wie angeraten wurde - auf mysqli gesetzt habe. Funktionieren tut das Ganze wie gewohnt, das Umschreiben war auch nicht so aufwendig wie ich befürchtet habe.

Ist denn so das Risiko einer SQL-Injection gemindert bzw. wird eine solche verhindert? Oder habe ich da (noch etwas) falsch verstanden bzw. noch nicht umgesetzt?