Wenn zum Beispiel das Sprachkürzel immer zwei Zeichen lang ist, könnte man das prüfen, oder auch gegen eine Liste der gültigen Werte.

Sprachkürzel werden nach ISO bis zu drei Stellen erwartet, z.B. nds (plattdeutsch, eher als Gag).

Die Länge ist doch nebensächlich, Leerzeichen und Interpunktionszeichen dürfen nicht. Eine Expression /[-\w]{2,8}/ (unter Vorbehalt) dürfte die Problematik zu diesem Parameter entschärfen und die anderen Parameter haben /^\d+$/ zu genügen.

Dann ist es auch nicht mehr möglich über legacy Parameter ein SQL Statement einzuschleusen.

MfG