Nicht ganz, es wird der Format-String übergeben und der sollte überprüft werden.

Ich habe aber jetzt nochmal alles überdacht und bin zu dem Schluss gekommen, dass es eigentlich keinen Sinn macht, den Format-String zu überprüfen, da darin ja zb. auch Wörter vorkommen dürfen.
Also denke ich, dass ich es jetzt mal unüberprüft lasse, denn eigentlich kann der Benutzer eingeben was er will und Schaden kann er damit ja keinen anrichten in der date() Funktion.