Hi Tom,

es würde wohl reichen, den String mit
   $linkapendix = htmlspecialchars(raw_url_encode($paramstring),ENT_QUOTES);
zu behandeln.

es geht nicht um einen Parameter den ich einer URL anfügen möchte, es geht um den kompletten String innnerhalb des Attributs href. Da darin nicht zwangsweise eine URL steht, kann ich auch nicht nur deren Query-Teil behandeln. Ebensowenig kann ich den ganzen String behandeln, das würde eine URL ungültig machen.

Die Frage war aber auch nicht, wie ich das Problem lösen kann, sondern welche Strings innerhalb eines href Attributs gefährlich werden können.
Mir fällt als solches nur "javascript:" ein, wüsste aber gern, ob es da mehr gibt.

Gruß,
Andreas