Debe verificar que los campos que proporcionaron estén en una lista/matriz de campos en los que permite buscar. Agregue acentos graves alrededor de los nombres de campo en la consulta solo para estar más seguro también. Hacer ambas cosas evitará cualquier inyección a través de esas variables.