Als Ergänzung:

Sollte ich, wenn ich mit PHP "nur" Seiten untereinander verbinde und keine Input-Felder oder Formulare benutze, ...

Ob Du Inputfelder oder Formulare benutzt ist irrelevant. Wichtig ist, daß dein script keine fremden Daten (ungeprüft) verarbeitet, die vorhanden sein könnten, auch ohne Formular auf deiner Seite. Je nach Serverkonfiguration könnte jede Variable schon Daten enthalten und muß ggf. initialisiert werden.

Ein weiterer möglicher Fallstrick, ganz ohne Datenbank, sind Email Header Injection, wobei das auch unter "keine fremden Daten (ungeprüft) verarbeitet" fällt.